开启左侧

PHP错误回显泄露,容易造成XSS或SQL注入

 关闭 [复制链接]
匿名
匿名  2022-8-3 10:07:19
本帖最后由 匿名 于 2022-8-3 10:10 编辑
) I" {- x9 g. T" ]5 }4 x/ K4 H# Y
% C' w" d  R, |2 j复现步骤:注册一个马甲账号,再注册一个名字一模一样的马甲账号,会出现错误回显,带有SQL语句和加密后的密码信息。
, U4 Q8 m. J3 P5 w0 b$ K  Y3 x$ u! |; B% q* H6 E& B, r9 a1 _3 P
; ]( m) Q) P1 b! N. Y
如图所示。(密码为1145141919810,从中可以暴力破译加盐Hash算法)7 _& v& b( [) R# L( i# Q
另外,参考https://blog.csdn.net/s11show_163/article/details/104645900,可以通过INSERT进行SQL注入,脱裤分分钟的事情。
9 W$ ]2 U7 w* i0 v: |0 n6 z9 U, Y3 F& j+ \# r( d0 D
望关闭DEBUG回显以免受到攻击。修复后请发一条公告链接至此,随后下沉防止有人发现。# R' _7 m9 [; N( e+ c
已经是我遇到的第三个生产环境开DEBUG的了......上次是学校就算了,想问问程序员们怎么想的0 t8 a- j" v% {4 X/ |/ C
修完了记得给我一个勋章玩玩
- `  `; _+ g* W# A  w
! R$ e- X' A1 N6 I+ m' _
- A6 l: V7 m+ Z* I4 p* \

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
匿名
匿名  2022-8-3 10:20:14
BUG保护性屏蔽,技术人员正在尝试确认BUG严重程度
头像被屏蔽
XHG78999 作者认证 2022-8-3 10:57:55
木新同学 发表于 2022-8-3 10:20; w8 _+ B* x3 x1 s( d' x# T( I
BUG保护性屏蔽,技术人员正在尝试确认BUG严重程度

5 v# Q! n! \1 E" z' Z我就是发布者,我刚刚比对了一下,这段SQL可以普通方法注入INSERT语句而且没有语句屏蔽,建议立刻封闭并且加强SQL语句过滤防止注入
签名被屏蔽
匿名
匿名  2022-8-3 10:59:21
XHG78999 发表于 2022-8-3 10:57
% g# H5 I8 I8 |**** 该帖被屏蔽 ****

; r9 d. b* N" ^2 O收到,再次保护性屏蔽
Zbx1425 作者认证 2022-8-3 13:02:36
确实是这个“我的马甲”插件在引起数据库错误,不过我以为这里并没有密码爆破/注入的问题。7 P7 G2 D: R. o" E) W1 q+ N6 k
8 y. h( V+ X. c8 l% H) \
这个插件里的Hash算法在数据库里对所有用户都用同样的盐,所以同时能看到输入和输出确实理论上能够还原盐,不过我以为爆破难度不小。而且即使得到盐也很难反解出其他用户的密码。) R5 A9 K( G, m) k
以及 Discuz 主数据库是使用完全不同且每用户都不同的盐的,所以那边并没问题。
7 f. s6 F% F  y4 Q! h0 Q- D: L: a4 k6 _
/ r2 N. I- L$ F" w6 Z7 f! i关于 SQL/XSS 注入问题,在涉及到的 memcp.inc.php 源码中) y5 w5 p2 [- c& T* R+ ]
  1. if($_GET['pluginop'] == 'add' && submitcheck('adduser')) {
    7 _" _: \  r8 ?" y5 C  y- T
  2.   if($singleprem && in_array($_GET['usernamenew'], $permusers) || !$singleprem) {* n) Q$ S3 r/ ]7 g6 Y1 z, A6 D
  3.     $usernamenew = addslashes(strip_tags($_GET['usernamenew']));7 o: m  ]2 v% J( J. s6 Q
  4.     $logindata = addslashes(authcode($_GET['passwordnew']."\t".$_GET['questionidnew']."\t".$_GET['answernew'], 'ENCODE', $_G['config']['security']['authkey']));
    * x( K& M2 i; g, P
  5.     if(C::t('#myrepeats#myrepeats')->count_by_uid_username($_G['uid'], $usernamenew)) {0 `- K7 V/ Q+ A! Y; u& n
  6.       DB::query("UPDATE ".DB::table('myrepeats')." SET logindata='$logindata' WHERE uid='$_G[uid]' AND username='$usernamenew'");
    9 E; S2 E+ S2 T, A1 M
  7.     } else {4 h. ?+ D% _% S3 x
  8.       $_GET['commentnew'] = addslashes($_GET['commentnew']);( _% \& q& Y+ Z1 e7 |( G" x- x9 p
  9.       DB::query("INSERT INTO ".DB::table('myrepeats')." (uid, username, logindata, comment) VALUES ('$_G[uid]', '$usernamenew', '$logindata', '".strip_tags($_GET['commentnew'])."')");) l% G& j5 Y# T3 x
  10. ...
复制代码
确实是在做字符串拼接,这可不是好文明;不过它对输入数据进行了 addslashes 和 strip_tags,所以这里应该是回避了 SQL/XSS 注入的问题。% j" _: f+ B: [. I* p
9 d  M' T6 w1 Q, D8 q9 R6 p
Discuz 系统本身似乎并未提供使它不显示错误信息的方法,也就是没得配置不改 Discuz 代码就关不掉?4 R/ p# B- |- o- f- V. Z$ T0 y
MCBBS 也是会照样显示数据库错误的(大概 5 年前看到)。
$ n4 @  |. [- d这个倒是可以改改 Discuz 代码来关闭,不过有点治标不治本。4 u3 {) p6 a" o% d

2 l. c" k9 l) @6 C! E倒是可以考虑考虑关掉这个马甲插件,看起来代码质量一般的样子(- T4 i4 h2 V8 }7 {& c/ L; E) [) |

3 H3 I% S2 Y- h1 G% T( P/ X* z' |: _
头像被屏蔽
XHG78999 作者认证 2022-8-3 13:07:13
Zbx1425 发表于 2022-8-3 13:022 t7 Q( H8 X. L2 O" Y
确实是这个“我的马甲”插件在引起数据库错误,不过我以为这里并没有密码爆破/注入的问题。$ M& q$ d6 b) X
# X# r( u; A& j7 x
这个插件里的H ...
1 |6 s6 B- {% f
应该能挡住绝大部分注入吧,但是屏蔽到啥也不能用还能注入就是sql巧妙的一个点。' @+ \5 l; e& o
还是关了马甲插件吧,没用没效果代码又是一坨屎
签名被屏蔽
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表