discuz!6.x/7.x漏洞复现(二)
2017-07-19 本文已影响0人
sum3mer
discuz!6.x/7.x存在sql注入
问题出在 editpost.inc.php的281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。
$pollarray['options']=$polloption;
if($pollarray['options']){
if(count($pollarray['options'])>$maxpolloptions)
{showmessage('post_poll_option_toomany');}
foreach($pollarray['options']as$key=>$value){//这里直接解析出来没处理$key
if(!trim($value)){
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");unset($pollarray['options'][$key]);}}
DELETE注入:
可以利用updatexml报错注入,如:
利用extractvalue报错
