Discuz 5.x/6.x/7.x投票SQL注入分析

看烏雲有人爆了這個漏洞：http://www.wooyun.org/bugs/wooyun-2014-071516
感受應該是editpost.inc.php裏投票的漏洞。由於dz已經肯定不會再修補7.x之前的漏洞了，因此直接貼細節吧 。
問題出在 editpost.inc.php的281行，對用戶提交的polloption數組直接解析出來帶入SQL語句，由於默認只對數組值過濾，而不過濾鍵，因此會致使一個DELETE注入。

?

1 2 3 4 5 6 7 8 9 10 11

$pollarray [ 'options' ] = $polloption ; if ( $pollarray [ 'options' ]) { if ( count ( $pollarray [ 'options' ]) > $maxpolloptions ) { showmessage( 'post_poll_option_toomany' ); } foreach ( $pollarray [ 'options' ] as $key => $value ) { //這裏直接解析出來沒處理$key if (!trim( $value )) { $db ->query( "DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'" ); unset( $pollarray [ 'options' ][ $key ]); } }

利用方法：
用註冊帳戶發佈一個投票帖子，而後點擊「編輯」，以下圖

而後用burp攔截請求，點「編輯帖子」，修改其中的polloption爲注入語句：

由於代碼判斷trim($value)爲空才執行下面的語句，因此必定要把范冰冰刪掉。

返回結果已經成功注入了：

修補方法：

若是不方便升級到Discuz X的話，能夠修改editpost.inc.php文件，增長一行：

?

1	$key = addslashes ( $key );