Discuz防注入函数绕过方法分析

discuz介绍:

Crossday Discuz! Board(以下简称 Discuz!,中国国家版权局著作权登记号 2006SR11895)是康盛创想(北京)科技有限公司(英文简称Comsenz)推出的一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上,通过简单的设置和安装,在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。Discuz! 的基础架构采用世界上最流行的 web 编程组合 PHP+MySQL 实现,是一个经过完善设计,适用于各种服务器环境的高效论坛系统解决方案。

DIscuz v63积分插件被爆注入漏洞,某互联网公司公布了一个的绕过discuz防注入函数的“方法”,链接 http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=5373。事实上文章中说的“/*”会被discuz拦截。并没有绕过,SafeKey Team分析了某互联网公司披露的discuz v63积分商城插件注入漏洞,发现discuz本身的防注入机制可以被绕过,且无限制。

Discuz防注入分析如下:

先看防注入配置:

Discuz 执行SQL语句之前会调用{\source\class\discuz\discuz_database.php} 文件discuz_database_safecheck类下面的checkquery($sql)函数进行过滤。但是过滤并不严谨,我们发现可以绕过改防注入函数。

上面的if (self::$config[‘status’]) {判断有木有开启防注入。最终会self::_do_query_safe($sql);

调用 _do_query_safe()函数。跟进该函数,在同文件的363行。

该防注入函数的关键绕过代码在:

在discuz v63积分商城插件注入漏洞exp中并不需要斜杠、#号和—注释符。所以会执行$clean = preg_replace(“/’(.+?)’/s”, ”, $sql);原来SQL语句中两个单引号中间的内容就会被替换为空。并不会进入到下面的else分支。Else下面的所有操作均是对$clean变量的操作。所以绕过的思路就是把SQL语句放在两个单引号中间。对于mysql的一个特性,

@ 是为空的,所以我们的攻击语句可以放到两个@中间,即使GPC开启,单引号被转义为\’,而@变成@\’对注入也是没有影响的,所以此绕过方法无限制。

即针对该注入漏洞的攻击EXP为:


  1.  

调试输出SQL语句:

Discuz防注入函数绕过方法分析及没用心的修复补丁

可以看到我们的注入语句被替换掉了,所以后面的检查字符的时候并没有发现注入语句。

最终成功利用:

Discuz防注入函数绕过方法分析及没用心的修复补丁

官网补丁:http://www.discuz.net/forum.php?mod=viewthread&tid=3234536

本文分析人:晴天小铸,Seay

原文地址:http://netsecurity.51cto.com/art/201303/386717.htm

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。