Discuz 5.x/6.x/7.x投票SQL注入复现

  • A+
所属分类:颓废's Blog
摘要

Discuz_6.1.0F_SC_UTF8/include/editpost.inc.php 288行 $pollarray = ”; $pollarray[‘options’] = $polloption; if($pollarray[‘options’]) { if(count($pollarray[‘options’]) > $maxpolloptions) { showmessage(‘post_poll_option_toomany’); } foreach($pollarray[‘options’] as $key => $value) {//这里直接解析出来没处理$key if(!trim($value)) { $db->query(“DELETE FROM {$tablepre}polloptions WHERE polloptionid=’$key’ AND tid=’$tid'”);//直接带入key值 unset($pollarray[‘options’][$key]); } 对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。

问题复现:

首先需要一个有新建投票帖子的权限的用户,这里本地搭建,就用admin进行测试

问题代码:

Discuz_6.1.0F_SC_UTF8/include/editpost.inc.php 288行

$pollarray = ''; $pollarray['options'] = $polloption; if($pollarray['options']) {     if(count($pollarray['options']) > $maxpolloptions) {         showmessage('post_poll_option_toomany');     }     foreach($pollarray['options'] as $key => $value) {//这里直接解析出来没处理$key         if(!trim($value)) {             $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");//直接带入key值             unset($pollarray['options'][$key]);         }

对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。

问题复现:

首先需要一个有新建投票帖子的权限的用户,这里本地搭建,就用admin进行测试
Discuz 5.x/6.x/7.x投票SQL注入复现

Discuz 5.x/6.x/7.x投票SQL注入复现

Discuz 5.x/6.x/7.x投票SQL注入复现

Discuz 5.x/6.x/7.x投票SQL注入复现

Discuz 5.x/6.x/7.x投票SQL注入复现

Discuz 5.x/6.x/7.x投票SQL注入复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: