Discuz5.x/6.x/7.x投票SQL注入分析网站安全自学

  看有人爆了这个 漏洞 ， 感觉应该是editpost.inc.php里投票的漏洞。因为dz已经确定不会再修补7.x以前的漏洞了，所以直接贴细节吧 。

问题出在 editpost.inc.php的281行，对用户提交的polloption数组直接解析出来带入SQL语句，因为默认只对数组值过滤，而不过滤键，所以会导致一个DELETE注入。

$pollarray[&＃39;options&＃39;] = $polloption;
if($pollarray[&＃39;options&＃39;]) {
if(count($pollarray[&＃39;options&＃39;]) > $maxpolloptions) {
showmessage(&＃39;post_poll_option_toomany&＃39;);
}
foreach($pollarray[&＃39;options&＃39;] as $key => $value) { //这里直接解析出来没处理$key
if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptiOnid=&＃39;$key&＃39; AND tid=&＃39;$tid&＃39;");
unset($pollarray[&＃39;options&＃39;][$key]);
}
}

利用方法：

用注册账户发布一个投票帖子，然后点击[编辑]，如下图

 

然后用burp拦截请求，点[编辑帖子]，修改其中的polloption为注入语句：

 

因为代码判断trim($value)为空才执行下面的语句，所以一定要把范冰冰删掉。

返回结果已经成功注入了：