开启左侧

PHP错误回显泄露,容易造成XSS或SQL注入

 关闭 [复制链接]
匿名
匿名  2022-8-3 10:07:19
本帖最后由 匿名 于 2022-8-3 10:10 编辑
2 z2 b  j" e% m! x6 N5 h3 }) u4 ^" K& g! o2 V
复现步骤:注册一个马甲账号,再注册一个名字一模一样的马甲账号,会出现错误回显,带有SQL语句和加密后的密码信息。
: F0 }4 I  [* \/ h  M8 M! k1 n0 H" I* }

; T& z2 [# |! F$ I! e, a! h$ L如图所示。(密码为1145141919810,从中可以暴力破译加盐Hash算法). ~8 S2 p( |$ @: ]
另外,参考https://blog.csdn.net/s11show_163/article/details/104645900,可以通过INSERT进行SQL注入,脱裤分分钟的事情。
; C5 f6 f" I* T8 ?5 B- j6 h4 [/ I' p: V( d# k$ G: m' U$ U9 s) y8 A
望关闭DEBUG回显以免受到攻击。修复后请发一条公告链接至此,随后下沉防止有人发现。( S' j1 W9 L) O
已经是我遇到的第三个生产环境开DEBUG的了......上次是学校就算了,想问问程序员们怎么想的" ?+ Q+ d( w% a4 D7 U
修完了记得给我一个勋章玩玩  P8 c& {6 f/ \: R
+ a" ?9 O7 r$ V* L' ]2 Z

4 _$ s! T' ?" d' g' G2 ~' P

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
匿名
匿名  2022-8-3 10:20:14
BUG保护性屏蔽,技术人员正在尝试确认BUG严重程度
头像被屏蔽
XHG78999 作者认证 2022-8-3 10:57:55
木新同学 发表于 2022-8-3 10:204 E/ h8 I1 a! F5 \( B  X
BUG保护性屏蔽,技术人员正在尝试确认BUG严重程度

# d) V) e$ w' |2 s" d我就是发布者,我刚刚比对了一下,这段SQL可以普通方法注入INSERT语句而且没有语句屏蔽,建议立刻封闭并且加强SQL语句过滤防止注入
签名被屏蔽
匿名
匿名  2022-8-3 10:59:21
XHG78999 发表于 2022-8-3 10:571 H3 t% l9 z( d( b% H5 o2 t" H
**** 该帖被屏蔽 ****
' |4 c4 J: i# K9 `3 y. r: U( G
收到,再次保护性屏蔽
Zbx1425 作者认证 2022-8-3 13:02:36
确实是这个“我的马甲”插件在引起数据库错误,不过我以为这里并没有密码爆破/注入的问题。
9 r+ I* i! f  k0 s% @
* N* T- m5 h( K/ w这个插件里的Hash算法在数据库里对所有用户都用同样的盐,所以同时能看到输入和输出确实理论上能够还原盐,不过我以为爆破难度不小。而且即使得到盐也很难反解出其他用户的密码。) p8 }# P' n3 C9 X
以及 Discuz 主数据库是使用完全不同且每用户都不同的盐的,所以那边并没问题。# _3 ^" K4 p$ ]2 p9 {+ p

. G- I! d( A& u7 r$ y关于 SQL/XSS 注入问题,在涉及到的 memcp.inc.php 源码中
! J) o$ T# }. L+ i% ~6 e, O
  1. if($_GET['pluginop'] == 'add' && submitcheck('adduser')) {
    . s4 P- x0 w3 |2 u
  2.   if($singleprem && in_array($_GET['usernamenew'], $permusers) || !$singleprem) {) o+ W4 B, ~0 ]2 ~
  3.     $usernamenew = addslashes(strip_tags($_GET['usernamenew']));
    * P* ^+ r2 @: m
  4.     $logindata = addslashes(authcode($_GET['passwordnew']."\t".$_GET['questionidnew']."\t".$_GET['answernew'], 'ENCODE', $_G['config']['security']['authkey']));3 V2 e( I+ T& n
  5.     if(C::t('#myrepeats#myrepeats')->count_by_uid_username($_G['uid'], $usernamenew)) {  y3 F* u7 n" o
  6.       DB::query("UPDATE ".DB::table('myrepeats')." SET logindata='$logindata' WHERE uid='$_G[uid]' AND username='$usernamenew'");
    3 u# W% A, b/ ?* V1 t' }
  7.     } else {( @" |+ y0 d6 S3 T8 P( j
  8.       $_GET['commentnew'] = addslashes($_GET['commentnew']);) }  N8 `- A1 O/ |6 {! B  T$ M# Y
  9.       DB::query("INSERT INTO ".DB::table('myrepeats')." (uid, username, logindata, comment) VALUES ('$_G[uid]', '$usernamenew', '$logindata', '".strip_tags($_GET['commentnew'])."')");
    / |- Q9 x: Z# C, u4 w
  10. ...
复制代码
确实是在做字符串拼接,这可不是好文明;不过它对输入数据进行了 addslashes 和 strip_tags,所以这里应该是回避了 SQL/XSS 注入的问题。7 a! B+ {  B$ J- f4 M; o, v

9 k0 j- B, H5 ~- b# V# r0 ^Discuz 系统本身似乎并未提供使它不显示错误信息的方法,也就是没得配置不改 Discuz 代码就关不掉?+ I5 M+ j5 y1 h6 `: K' B7 p
MCBBS 也是会照样显示数据库错误的(大概 5 年前看到)。7 H9 i/ @. U( r# z$ D& x2 ^7 O
这个倒是可以改改 Discuz 代码来关闭,不过有点治标不治本。8 V& X* x% I* i5 O
% Y) S: y! |7 @% F
倒是可以考虑考虑关掉这个马甲插件,看起来代码质量一般的样子(- v5 p- `% o1 V4 O) |! v& I
, ^+ t. e  _1 l+ r
头像被屏蔽
XHG78999 作者认证 2022-8-3 13:07:13
Zbx1425 发表于 2022-8-3 13:02, H+ V& j) d$ p1 |6 h# E: k1 m. w
确实是这个“我的马甲”插件在引起数据库错误,不过我以为这里并没有密码爆破/注入的问题。! T6 J" B3 h& z" c
* y9 y" I5 M1 J4 s/ c! c! ?) n
这个插件里的H ...

8 b- `0 Q* A, n2 t6 Y, w应该能挡住绝大部分注入吧,但是屏蔽到啥也不能用还能注入就是sql巧妙的一个点。
+ [" H" e9 d% _( e3 J* m还是关了马甲插件吧,没用没效果代码又是一坨屎
签名被屏蔽
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表