漏洞描述
不久以前Discuz!X的后台披露了一个sql注入的漏洞,这里也要感谢漏洞的发现和研究者(无糖的kn1f3)。
影响版本
- Discuz!X <3.4 R20191201 版本
环境搭建
百度云盘下载链接
密码: 0515
将 upload目录下的文件拷入phpstudy下的WWW目录打开网站按照步骤安装就行了
漏洞复现
来到后台页面, 在 UCenter 应用 ID 位置的参数添加单引号并抓包
发现出现SQL语句报错
使用报错注入去获取版本号
这里的参数为 settingnew[uc][appid]
查看文件 sourceadmincpadmincp_setting.php, 在2677行找到了输入点
根据报错语句找到SQL语句执行点,在文件uc_clientmodelbase.php 中的 206行
通过这里的语句可以看到我们可以使用 union注入 的方法来写入恶意文件(secure_file_priv不能为Null)
1' union select "<?php phpinfo();?>" into outfile 'D:/test.php';--+
也可以使用其他的方法
文章来源:https://www.yuque.com/peiqiwiki/peiqi-poc-wiki/wpg0ad
原文始发于微信公众号(White OWL):Discuz!X 3.4 admincp_setting.php 后台SQL注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论