PHP错误回显泄露,容易造成XSS或SQL注入
本帖最后由 匿名 于 2022-8-3 10:10 编辑复现步骤:注册一个马甲账号,再注册一个名字一模一样的马甲账号,会出现错误回显,带有SQL语句和加密后的密码信息。
如图所示。(密码为1145141919810,从中可以暴力破译加盐Hash算法)
另外,参考https://blog.csdn.net/s11show_163/article/details/104645900,可以通过INSERT进行SQL注入,脱裤分分钟的事情。
望关闭DEBUG回显以免受到攻击。修复后请发一条公告链接至此,随后下沉防止有人发现。
已经是我遇到的第三个生产环境开DEBUG的了......上次是学校就算了,想问问程序员们怎么想的
修完了记得给我一个勋章玩玩:D
BUG保护性屏蔽,技术人员正在尝试确认BUG严重程度 木新同学 发表于 2022-8-3 10:20
BUG保护性屏蔽,技术人员正在尝试确认BUG严重程度
我就是发布者,我刚刚比对了一下,这段SQL可以普通方法注入INSERT语句而且没有语句屏蔽,建议立刻封闭并且加强SQL语句过滤防止注入 XHG78999 发表于 2022-8-3 10:57
**** 该帖被屏蔽 ****
收到,再次保护性屏蔽 确实是这个“我的马甲”插件在引起数据库错误,不过我以为这里并没有密码爆破/注入的问题。
这个插件里的Hash算法在数据库里对所有用户都用同样的盐,所以同时能看到输入和输出确实理论上能够还原盐,不过我以为爆破难度不小。而且即使得到盐也很难反解出其他用户的密码。
以及 Discuz 主数据库是使用完全不同且每用户都不同的盐的,所以那边并没问题。
关于 SQL/XSS 注入问题,在涉及到的 memcp.inc.php 源码中
if($_GET['pluginop'] == 'add' && submitcheck('adduser')) {
if($singleprem && in_array($_GET['usernamenew'], $permusers) || !$singleprem) {
$usernamenew = addslashes(strip_tags($_GET['usernamenew']));
$logindata = addslashes(authcode($_GET['passwordnew']."\t".$_GET['questionidnew']."\t".$_GET['answernew'], 'ENCODE', $_G['config']['security']['authkey']));
if(C::t('#myrepeats#myrepeats')->count_by_uid_username($_G['uid'], $usernamenew)) {
DB::query("UPDATE ".DB::table('myrepeats')." SET logindata='$logindata' WHERE uid='$_G' AND username='$usernamenew'");
} else {
$_GET['commentnew'] = addslashes($_GET['commentnew']);
DB::query("INSERT INTO ".DB::table('myrepeats')." (uid, username, logindata, comment) VALUES ('$_G', '$usernamenew', '$logindata', '".strip_tags($_GET['commentnew'])."')");
...确实是在做字符串拼接,这可不是好文明;不过它对输入数据进行了 addslashes 和 strip_tags,所以这里应该是回避了 SQL/XSS 注入的问题。
Discuz 系统本身似乎并未提供使它不显示错误信息的方法,也就是没得配置不改 Discuz 代码就关不掉?
MCBBS 也是会照样显示数据库错误的(大概 5 年前看到)。
这个倒是可以改改 Discuz 代码来关闭,不过有点治标不治本。
倒是可以考虑考虑关掉这个马甲插件,看起来代码质量一般的样子(
Zbx1425 发表于 2022-8-3 13:02
确实是这个“我的马甲”插件在引起数据库错误,不过我以为这里并没有密码爆破/注入的问题。
这个插件里的H ...
应该能挡住绝大部分注入吧,但是屏蔽到啥也不能用还能注入就是sql巧妙的一个点。
还是关了马甲插件吧,没用没效果代码又是一坨屎
页:
[1]