Discuz!X3.x全版本后台UC漏洞SQL注入写文件[截至X3.4 R20191201]

admin · 发表于 2020-8-10 09:14:29

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

1、简述

Discuz! X系列全版本截止到 Discuz! X3.4 R20191201 UTF-8

二次注入

利用条件有限，还是挺鸡肋的。

2、复现环境

同上

3、漏洞复现 Discuz!X3.x全版本后台UC漏洞SQL注入写文件[截至X3.4 R20191201] 版本,后台,漏洞,文件,ucenter

报错注入：

写文件：

4、漏洞分析

漏洞原因：经过addslashes存入文件中,从文件中取出字符,转义符号丢失，造成二次注入

由前几个的分析已经明白了dz的路由形式，此处的路由解析如下：?action=xxx => ../admincp_xxx.php

跟进source/admincp/admincp_setting.php，2566行，接收参数修改UC_APPID值。

$configfile = str_replace("define('UC_APPID', '".addslashes(UC_APPID)."')", "define('UC_APPID', '".$settingnew['uc']['appid']."')", $configfile);
$fp = fopen('./config/config_ucenter.php', 'w');
if(!($fp = @fopen('./config/config_ucenter.php', 'w'))) {
cpmsg('uc_config_write_error', '', 'error');
}
@fwrite($fp, trim($configfile));
@fclose($fp);

复制代码

成功写入恶意UC_APPID后，执行更新读取新的配置信息，3415行：

if($updatecache) {
updatecache('setting');

复制代码

最后在uc_client/model/base.php的note_exists方法中触发注入

function note_exists() {
$noteexists = $this->db->result_first("SELECT value FROM ".UC_DBTABLEPRE."vars WHERE name='noteexists".UC_APPID."'");
if(empty($noteexists)) {
return FALSE;
} else {
return TRUE;
}
}

复制代码

©dz插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
如有侵权请邮件与我们联系处理:[email protected]（手机随时接收邮件）并出示相关证明以便删除。敬请谅解！

账号		自动登录	找回密码
密码			立即注册

[BUG反馈] Discuz!X3.x全版本后台UC漏洞SQL注入写文件[截至X3.4 R20191201]

马上注册，免费下载更多dz插件网资源。

相关帖子