discuz!6.x/7.x漏洞复现(二)

discuz!6.x/7.x存在sql注入

问题出在 editpost.inc.php的281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。

$pollarray['options']=$polloption;

if($pollarray['options']){

if(count($pollarray['options'])>$maxpolloptions)

{showmessage('post_poll_option_toomany');}

foreach($pollarray['options']as$key=>$value){//这里直接解析出来没处理$key

if(!trim($value)){

$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");unset($pollarray['options'][$key]);}}

DELETE注入:

可以利用updatexml报错注入,如:



利用extractvalue报错


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,386评论 19 139
  • Java初级面试题
    1. Java基础部分 基础部分的顺序:基本语法,类相关的语法,内部类的语法,继承相关的语法,异常的语法,线程的语...
    子非鱼_t_阅读 31,929评论 18 399
  • Java面试
    一. Java基础部分.................................................
    wy_sure阅读 9,246评论 0 11
  • Apache Spark 2.2.0 中文文档 - Spark SQL, DataFrames...
    Spark SQL, DataFrames and Datasets Guide Overview SQL Dat...
    草里有只羊阅读 18,437评论 0 85
  • ShellCmd
    Mac shell小技巧 将当前目录下所有图片文件按顺序格式化递增序号重命名输出文件格式:xxx%03d.png说...
    龙心之火阅读 1,742评论 0 0