Discuz 3.2大礼包,绕过全局WAF
Discuz作为一个成熟的论坛型CMS,拥有广大的用户群体,因此每出一个漏洞都能引起大批量的脱裤行动和刷分狂潮。尽管官方已经在代码安全方面做得比较细致,但也难免会出现侧漏的时候。
这次躺枪的是Discuz 3.2,在phith0n的手里,鸡肋漏洞被完美结合利用,一个XSS+一个前台GET型的SQL注入,漏洞的杀伤力瞬间爆表。
请原谅小编打码万年木节操。
想必大家很疑惑,我们是怎么绕过discuz3.2的WAF呢?
不看全局防注入源码,黑盒测试一下,你就会发现一旦出现'、(就会拦截,而且注释符(#、--)也会拦截。括号不能有,就特别拙计,因为很多盲注需要括号,子查询也需要括号,函数也需要括号,这里都不能用了。那么,没有注释符怎么处理呢?这里有个巧合,在某些情况下,`能作为注释符用。因为mysql会自动给sql语句结尾没有闭合的`闭合掉,这样,只要让mysql人为后面那一大串字符是一个字段的“别名”即可。
POC利用结果:
这个漏洞鸡肋之处在于,虽然它是一个前台的注入(无需登录后台),但是却需要管理员权限。所以,利用方法就是找到一个前台xss,管理员(前台管理)访问以后用javascript获得访问到的页面内容,即可获得注入出的信息。使鸡肋漏洞变得不再鸡肋。或者利用某些浏览器的跨域漏洞,也能注入。
请原谅小编打码万年木节操。
想必大家很疑惑,我们是怎么绕过discuz3.2的WAF呢?
不看全局防注入源码,黑盒测试一下,你就会发现一旦出现'、(就会拦截,而且注释符(#、--)也会拦截。括号不能有,就特别拙计,因为很多盲注需要括号,子查询也需要括号,函数也需要括号,这里都不能用了。那么,没有注释符怎么处理呢?这里有个巧合,在某些情况下,`能作为注释符用。因为mysql会自动给sql语句结尾没有闭合的`闭合掉,这样,只要让mysql人为后面那一大串字符是一个字段的“别名”即可。
POC利用结果:
这个漏洞鸡肋之处在于,虽然它是一个前台的注入(无需登录后台),但是却需要管理员权限。所以,利用方法就是找到一个前台xss,管理员(前台管理)访问以后用javascript获得访问到的页面内容,即可获得注入出的信息。使鸡肋漏洞变得不再鸡肋。或者利用某些浏览器的跨域漏洞,也能注入。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
站内编辑
关注网络尖刀微信公众号
