Discuz 3.2大礼包，绕过全局WAF

推广：一定要看到最后，这应该是本年度最佳爽片。 Discuz作为一个成熟的论坛型CMS，拥有广大的用户群体，因此每出一个漏洞都能引起大批量的脱裤行动和刷分狂潮。尽管官方已经在代码安全方面做得比较细致，但也难免会出现侧漏的时候。 这次躺枪的是Discuz 3.2，在phith0n的手里，鸡肋漏洞被完美结合利用，一个XSS+一个前台GET型的SQL注入，漏洞的杀伤力瞬间爆表。 请原谅小编打码万年木节操。 想必大家很疑惑，我们是怎么绕过discuz3.2的WAF呢？ 不看全局防注入源码，黑盒测试一下，你就会发现一旦出现'、(就会拦截，而且注释符（#、--）也会拦截。括号不能有，就特别拙计，因为很多盲注需要括号，子查询也需要括号，函数也需要括号，这里都不能用了。那么，没有注释符怎么处理呢？这里有个巧合，在某些情况下，`能作为注释符用。因为mysql会自动给sql语句结尾没有闭合的`闭合掉，这样，只要让mysql人为后面那一大串字符是一个字段的“别名”即可。 POC利用结果： 这个漏洞鸡肋之处在于，虽然它是一个前台的注入（无需登录后台），但是却需要管理员权限。所以，利用方法就是找到一个前台xss，管理员（前台管理）访问以后用javascript获得访问到的页面内容，即可获得注入出的信息。使鸡肋漏洞变得不再鸡肋。或者利用某些浏览器的跨域漏洞，也能注入。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：http://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/