作者:W于小北B | 来源:互联网 | 2023-07-24 02:20
看有人爆了这个漏洞,感觉应该是editpostincphp里投票的漏洞。因为dz已经确定不会再修补7x以前的漏洞了,所以直接贴细节吧。问题出在editpostincphp的281行
看有人爆了这个 漏洞 , 感觉应该是editpost.inc.php里投票的漏洞。因为dz已经确定不会再修补7.x以前的漏洞了,所以直接贴细节吧 。
问题出在 editpost.inc.php的281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。
$pollarray['options'] = $polloption;
if($pollarray['options']) {
if(count($pollarray['options']) > $maxpolloptions) {
showmessage('post_poll_option_toomany');
}
foreach($pollarray['options'] as $key => $value) { //这里直接解析出来没处理$key
if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptiOnid='$key' AND tid='$tid'");
unset($pollarray['options'][$key]);
}
}
利用方法:
用注册账户发布一个投票帖子,然后点击[编辑],如下图
然后用burp拦截请求,点[编辑帖子],修改其中的polloption为注入语句:
因为代码判断trim($value)为空才执行下面的语句,所以一定要把范冰冰删掉。
返回结果已经成功注入了: