Discuz!_X_系列全版本_后台Sql注入漏洞

060

# Discuz! X 系列全版本 后台Sql注入漏洞

====================================

一、漏洞简介
————

利用条件:

1.知道网站的绝对路径

2.secure\_file\_priv的值为空

二、漏洞影响
————

Discuz!X 系列全版本 截止到 Discuz!X 3.4 R20191201 UTF-8

三、复现过程
————

挖过discuz 漏洞的都知道 它会对大部分传参进来的值进行过滤和校验
,所以当时找了一个二次注入的点

uc\_server\\model\\base.php 37行

base();
}

function base() {
$this->init_var();
$this->init_db();
$this->init_cache();
$this->init_app();
$this->init_user();
$this->init_template();
$this->init_note(); //跟进
$this->init_mail();
}

uc\_server\\model\\base.php 198行 开始

function init_note() {
if($this->note_exists()) { //跟进
$this->load(‘note’);
$_ENV[‘note’]->send();
}
}

function note_exists() {
$noteexists = $this->db->result_first(“SELECT value FROM “.UC_DBTABLEPRE.”vars WHERE name=’noteexists”.UC_APPID.”‘”); //从配置文件取值UC_APPID
return FALSE;
} else {
return TRUE;
}
}

查找UC\_APPID

source\\admincp\\admincp\_setting.php 2523行

$settingnew = $_GET[‘settingnew’]; //传入

if($operation == ‘credits’) {
$extcredits_exists = 0;
foreach($settingnew[‘extcredits’] as $val) {
if(isset($val[‘available’]) && $val[‘available’] == 1) {
$extcredits_exists = 1;
break;
}
}
if(!$extcredits_exists) {
cpmsg(‘setting_extcredits_must_available’);
}
if($settingnew[‘report_reward’]) {
$settingnew[‘report_reward’][‘min’] = intval($settingnew[‘report_reward’][‘min’]);
$settingnew[‘report_reward’][‘max’] = intval($settingnew[‘report_reward’][‘max’]);
if($settingnew[‘report_reward’][‘min’] > $settingnew[‘report_reward’][‘max’]) {
unset($settingnew[‘report_reward’]);
}
if($settingnew[‘report_reward’][‘min’] == $settingnew[‘report_reward’][‘max’]) {
$settingnew[‘report_reward’] = array(‘min’ => ”, ‘max’ => ”);
}
$settingnew[‘report_reward’] = serialize($settingnew[‘report_reward’]);
}
$settingnew[‘creditspolicy’] = @dunserialize($setting[‘creditspolicy’]);
$settingnew[‘creditspolicy’][‘lowerlimit’] = array();
foreach($settingnew[‘lowerlimit’] as $key => $value) {
if($settingnew[‘extcredits’][$key][‘available’]) {
$settingnew[‘creditspolicy’][‘lowerlimit’][$key] = (float)$value;
}
}
unset($settingnew[‘lowerlimit’]);
}
if($operation == ‘uc’ && is_writeable(‘./config/config_ucenter.php’) && $isfounder) {
require_once ‘./config/config_ucenter.php’;

$ucdbpassnew = $settingnew[‘uc’][‘dbpass’] == ‘********’ ? addslashes(UC_DBPW) : addslashes($settingnew[‘uc’][‘dbpass’]);
$settingnew[‘uc’][‘key’] = addslashes($settingnew[‘uc’][‘key’] == ‘********’ ? addslashes(UC_KEY) : $settingnew[‘uc’][‘key’]);

if(function_exists(“mysql_connect”) && ini_get(“mysql.allow_local_infile”)==”1″ && constant(“UC_DBHOST”) != $settingnew[‘uc’][‘dbhost’]){
cpmsg(‘uc_config_load_data_local_infile_error’, ”, ‘error’);
}

if($settingnew[‘uc’][‘connect’]) {
$uc_dblink = function_exists(“mysql_connect”) ? @mysql_connect($settingnew[‘uc’][‘dbhost’], $settingnew[‘uc’][‘dbuser’], $ucdbpassnew, 1) : new mysqli($settingnew[‘uc’][‘dbhost’], $settingnew[‘uc’][‘dbuser’], $ucdbpassnew);
if(!$uc_dblink) {
cpmsg(‘uc_database_connect_error’, ”, ‘error’);
} else {
if(function_exists(“mysql_connect”)) {
mysql_close($uc_dblink);
} else {
$uc_dblink->close();
}
}
}

$fp = fopen(‘./config/config_ucenter.php’, ‘r’);
$configfile = fread($fp, filesize(‘./config/config_ucenter.php’));
$configfile = trim($configfile);
$configfile = substr($configfile, -2) == ‘?>’ ? substr($configfile, 0, -2) : $configfile;
fclose($fp);

$connect = ”;
$settingnew[‘uc’] = daddslashes($settingnew[‘uc’]);
if($settingnew[‘uc’][‘connect’]) {
$connect = ‘mysql’;
$samelink = ($dbhost == $settingnew[‘uc’][‘dbhost’] && $dbuser == $settingnew[‘uc’][‘dbuser’] && $dbpw == $ucdbpassnew);
$samecharset = !($dbcharset == ‘gbk’ && UC_DBCHARSET == ‘latin1’ || $dbcharset == ‘latin1’ && UC_DBCHARSET == ‘gbk’);
$configfile = str_replace(“define(‘UC_DBHOST’, ‘”.addslashes(UC_DBHOST).”‘)”, “define(‘UC_DBHOST’, ‘”.$settingnew[‘uc’][‘dbhost’].”‘)”, $configfile);
$configfile = str_replace(“define(‘UC_DBUSER’, ‘”.addslashes(UC_DBUSER).”‘)”, “define(‘UC_DBUSER’, ‘”.$settingnew[‘uc’][‘dbuser’].”‘)”, $configfile);
$configfile = str_replace(“define(‘UC_DBPW’, ‘”.addslashes(UC_DBPW).”‘)”, “define(‘UC_DBPW’, ‘”.$ucdbpassnew.”‘)”, $configfile);
if(!preg_match(‘/^[\w\d\_]+$/’, $settingnew[‘uc’][‘dbtablepre’]) || !preg_match(‘/^[\w\d\_]+$/’, $settingnew[‘uc’][‘dbname’])) {
cpmsg(‘uc_config_write_error’, ”, ‘error’);
}
$configfile = str_replace(“define(‘UC_DBNAME’, ‘”.addslashes(UC_DBNAME).”‘)”, “define(‘UC_DBNAME’, ‘”.$settingnew[‘uc’][‘dbname’].”‘)”, $configfile);
$configfile = str_replace(“define(‘UC_DBTABLEPRE’, ‘”.addslashes(UC_DBTABLEPRE).”‘)”, “define(‘UC_DBTABLEPRE’, ‘`”.$settingnew[‘uc’][‘dbname’].’`.’.$settingnew[‘uc’][‘dbtablepre’].”‘)”, $configfile);
}
$configfile = str_replace(“define(‘UC_CONNECT’, ‘”.addslashes(UC_CONNECT).”‘)”, “define(‘UC_CONNECT’, ‘”.$connect.”‘)”, $configfile);
$configfile = str_replace(“define(‘UC_KEY’, ‘”.addslashes(UC_KEY).”‘)”, “define(‘UC_KEY’, ‘”.$settingnew[‘uc’][‘key’].”‘)”, $configfile);
$configfile = str_replace(“define(‘UC_API’, ‘”.addslashes(UC_API).”‘)”, “define(‘UC_API’, ‘”.$settingnew[‘uc’][‘api’].”‘)”, $configfile);
$configfile = str_replace(“define(‘UC_IP’, ‘”.addslashes(UC_IP).”‘)”, “define(‘UC_IP’, ‘”.$settingnew[‘uc’][‘ip’].”‘)”, $configfile);
$configfile = str_replace(“define(‘UC_APPID’, ‘”.addslashes(UC_APPID).”‘)”, “define(‘UC_APPID’, ‘”.$settingnew[‘uc’][‘appid’].”‘)”, $configfile);

$fp = fopen(‘./config/config_ucenter.php’, ‘w’);
if(!($fp = @fopen(‘./config/config_ucenter.php’, ‘w’))) {
cpmsg(‘uc_config_write_error’, ”, ‘error’);
}
@fwrite($fp, trim($configfile)); // 写入到config_ucenter.php 可控UC_APPID 的值 通过上面代码可以看出来只简单的addslashes了一下
@fclose($fp);
}

isset($settingnew[‘regname’]) && empty($settingnew[‘regname’]) && $settingnew[‘regname’] = ‘register’;
isset($settingnew[‘reglinkname’]) && empty($settingnew[‘reglinkname’]) && $settingnew[‘reglinkname’] = cplang(‘reglinkname_default’);
$nohtmlarray = array(‘bbname’, ‘regname’, ‘reglinkname’, ‘icp’, ‘sitemessage’, ‘site_qq’);
foreach($nohtmlarray as $k) {
if(isset($settingnew[$k])) {
$settingnew[$k] = dhtmlspecialchars($settingnew[$k]);
}
}

if(isset($settingnew[‘statcode’])) {
$settingnew[‘statcode’] = preg_replace(‘/language\s*=[\s|\’|\”]*php/is’, ‘_’, $settingnew[‘statcode’]);
$settingnew[‘statcode’] = str_replace(array(‘‘), array(‘‘), $settingnew[‘statcode’]);
}

转义一次的字符串被写人文件中,在PHP解析时就是没有转义过的原始内容
造成了二次注入的产生

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
国内漏洞库
喜欢就支持一下吧
点赞0 分享
棉花糖的头像-棉花糖会员站年费会员
会员必看手册(20240920版本)-棉花糖会员站
会员必看手册(20240920版本)
会员必看手册(20240920版本)
9月20日 1.4W+
技术文章投稿兑换会员规则-棉花糖会员站
技术文章投稿兑换会员规则
技术文章投稿兑换会员规则
3月25日 2962
上心-SRC培训课-棉花糖会员站
上心-SRC培训课
上心-SRC培训课
5月7日 2307
王老师src真正的完整版(49个学生分享视频版本)-棉花糖会员站
王老师src真正的完整版(49个学生分享视频版本)
王老师src真正的完整版(49个学生分享视频版本)
6月8日 2149
国庆抽奖,猫咪赞助安全课程300份-棉花糖会员站
国庆抽奖,猫咪赞助安全课程300份
国庆抽奖,猫咪赞助安全课程300份
9月29日 2138
钟北山SRC第七、八、九期-棉花糖会员站
钟北山SRC第七、八、九期
钟北山SRC第七、八、九期
5月9日 2102
相关推荐
海康威视漏洞合集-棉花糖会员站
海康威视漏洞合集
海康威视漏洞合集
6月1日 1021
Fastadmin框架lang任意文件读取-棉花糖会员站
Fastadmin框架lang任意文件读取
Fastadmin框架lang任意文件读取
6月16日 551
金蝶 EAS 反序列化 RCE-棉花糖会员站
金蝶 EAS 反序列化 RCE
金蝶 EAS 反序列化 RCE
10月11日 546
eking管理易Html5Upload接口 任意文件上传-棉花糖会员站
eking管理易Html5Upload接口 任意文件上传
eking管理易Html5Upload接口 任意文件上传
10月16日 518
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加-棉花糖会员站
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
10月11日 513
Cloudlog delete_oqrs_line 未授权SQL注入-棉花糖会员站
Cloudlog delete_oqrs_line 未授权SQL注入
Cloudlog delete_oqrs_line 未授权SQL注入
10月16日 494
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容

作者
用户封面
棉花糖的头像-棉花糖会员站年费会员
大华-智能物联综合管理平台-random-远程命令执行
【补发】C2工具vshell最新4.9.3版下载(带永久license)
外面流传的2024小迪99集残缺版
迈普pnsr2900x系统接口DOWNLOAD_FILE任意文件读取
致远OA后台表单导入ajax.do任意文件写入
数字通云平台智慧政务系统index接口 Sql注入
最近一周热门文章

1cs提权插件PostExpKit-202410(来源:潇湘信安)

棉花糖的头像-棉花糖会员站年费会员10月13日
99991949

2xscan xss漏扫工具

棉花糖的头像-棉花糖会员站年费会员10月13日
9999764

3红队VS蓝队:网络攻防实战技术解析随书资源

棉花糖的头像-棉花糖会员站年费会员10月13日
9999546

4eking管理易Html5Upload接口 任意文件上传

棉花糖的头像-棉花糖会员站年费会员10月16日
9999518

5一些安全技术相关文档存档

棉花糖的头像-棉花糖会员站年费会员10月14日
9999513

6Cloudlog delete_oqrs_line 未授权SQL注入

棉花糖的头像-棉花糖会员站年费会员10月16日
9999494
标签云
龙浏览器未引用的服务路径特权升级齿轮地理位置查询鼠标鼠标按钮命令注入远程鼠标远程代码执行鼠标远程代码鼠标路径遍历鼠标本地文件包含鼠标未引用的服务路径鼠标事件状态栏鼠标默认错误页面跨站点脚本默认配置远程代码执行默认管理员凭据默认的调制解调器上的密码硬件远程默认权限默认权利默认弱密码编码默认密码默认安全性硬件远程默认和弱加密