奇安信攻防社区-DiscuzX 3.4 admincp_setting.php 后台SQL注入漏洞

# Discuz!X 3.4 admincp_setting.php 后台SQL注入漏洞 ## 漏洞描述不久以前Discuz!X的后台披露了一个sql注入的漏洞，这里也要感谢漏洞的发现和研究者（无糖的kn1f3)。 ## 影响版本...

Discuz!X 3.4 admincp\_setting.php 后台SQL注入漏洞
===========================================

漏洞描述
----

不久以前Discuz!X的后台披露了一个sql注入的漏洞，这里也要感谢漏洞的发现和研究者（无糖的kn1f3)。

影响版本
----

Discuz!X &lt;3.4 R20191201 版本

环境搭建
----

将 `upload`目录下的文件拷入`phpstudy`下的WWW目录打开网站按照步骤安装就行了

![img](https://shs3.b.qianxin.com/butian_public/f155706b7214a1d5b18e326203be6346a12ea4bd994ce.jpg)

![img](https://shs3.b.qianxin.com/butian_public/f134837d9d452328618e6b24529579fad657d90bf111f.jpg)

漏洞复现
----

来到后台页面, 在 `UCenter 应用 ID` 位置的参数添加单引号并抓包

![img](https://shs3.b.qianxin.com/butian_public/f5311271c68c05a34c756a84a9e9c70ea7b95311220ba.jpg)

发现出现SQL语句报错

![img](https://shs3.b.qianxin.com/butian_public/f7969052887575014468ab63e828ef266d1556b963582.jpg)

使用报错注入去获取版本号

![img](https://shs3.b.qianxin.com/butian_public/f661794633a81c2ae0d8e14c6d45a9dbfb8997b1f05fd.jpg)

这里的参数为 `settingnew[uc][appid]`

查看文件 `\source\admincp\admincp_setting.php`， 在2677行找到了输入点

![img](https://shs3.b.qianxin.com/butian_public/f52634898a66aa0e9f6c5b3308e79d48eab354fd6b2c5.jpg)

根据报错语句找到SQL语句执行点，在文件`uc_client\model\base.php` 中的 206行

![img](https://shs3.b.qianxin.com/butian_public/f502487966c1da41c37b067680ce0ffa77681363d2aa3.jpg)

通过这里的语句可以看到我们可以使用 `union注入` 的方法来写入恶意文件(`secure_file_priv不能为Null`)

![img](https://shs3.b.qianxin.com/butian_public/f50698105c0cbfc8d0f687a809edfd02a44100a906226.jpg)

```plain
1' union select "<?php phpinfo();?>"  into outfile 'D:/test.php';--+
```

也可以使用其他的方法

0 条评论