Discuz 5.x/6.x/7.x投票SQL注入复现

摘要

Discuz_6.1.0F_SC_UTF8/include/editpost.inc.php 288行 $pollarray = ''; $pollarray['options'] = $polloption; if($pollarray['options']) { if(count($pollarray['options']) > $maxpolloptions) { showmessage('post_poll_option_toomany'); } foreach($pollarray['options'] as $key => $value) {//这里直接解析出来没处理$key if(!trim($value)) { $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");//直接带入key值 unset($pollarray['options'][$key]); } 对用户提交的polloption数组直接解析出来带入SQL语句，因为默认只对数组值过滤，而不过滤键，所以会导致一个DELETE注入。

问题复现：

首先需要一个有新建投票帖子的权限的用户，这里本地搭建，就用admin进行测试

问题代码：

Discuz_6.1.0F_SC_UTF8/include/editpost.inc.php 288行

$pollarray = ''; $pollarray['options'] = $polloption; if($pollarray['options']) {     if(count($pollarray['options']) > $maxpolloptions) {         showmessage('post_poll_option_toomany');     }     foreach($pollarray['options'] as $key => $value) {//这里直接解析出来没处理$key         if(!trim($value)) {             $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");//直接带入key值             unset($pollarray['options'][$key]);         }

对用户提交的polloption数组直接解析出来带入SQL语句，因为默认只对数组值过滤，而不过滤键，所以会导致一个DELETE注入。

问题复现：

首先需要一个有新建投票帖子的权限的用户，这里本地搭建，就用admin进行测试