2014-04-13: 细节已通知厂商并且等待厂商处理中 2014-04-18: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放 2014-06-12: 细节向核心白帽子及相关领域专家公开 2014-06-22: 细节向普通白帽子公开 2014-07-02: 细节向实习白帽子公开 2014-07-09: 细节向公众公开
过滤不严无需登录会员。
function GetIP(){ if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown")) $ip = getenv("HTTP_CLIENT_IP"); else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown")) $ip = getenv("HTTP_X_FORWARDED_FOR"); else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown")) $ip = getenv("REMOTE_ADDR"); else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown")) $ip = $_SERVER['REMOTE_ADDR']; else $ip = "unknown"; return($ip); }
这里 一个很古老的漏洞 XFF 未过滤。 在message.php中
function add(){ //if($GLOBALS['G_DY']['vercode']==1){ //if(!$this->syArgs("vercode",1)||md5(strtolower($this->syArgs("vercode",1)))!=$_SESSION['doyo_verify'])message("验证码错误"); //} if(!$this->syArgs('tid'))message("请选择栏目"); $tid=$this->syArgs('tid'); $this->type=syDB('classtype')->find(array('tid'=>$tid),null,'molds,classname,msubmit'); if($this->type['msubmit']!=1){ $this->member->p_r($this->type['msubmit']); } $isshow = ($this->my['group']['audit']==1) ? 1 : 0; $user = ($this->my['id']!=0) ? $this->my['user'] : '游客'; $fmolds = ($this->syArgs('fmolds',1)!='') ? $this->syArgs('fmolds',1) : ''; $title = ($this->syArgs('title',1)!='') ? $this->syArgs('title',1) : $this->type['classname']; $body = ($this->syArgs('body',1)!='') ? $this->syArgs('body',1) : ''; $row1 = array('tid' => $tid,'fmolds' => $fmolds,'faid' => $this->syArgs('faid'),'title' => $title,'addtime' => time(),'orders' => 0,'isshow' => $isshow,'user' => $user,'body' => $body,'reply'=>''); $row2=$this->fields_args('message',$tid); $add = syClass('c_message');$newv=$add->syVerifier($row1); if(false == $newv){ $a=$add->create($row1);$row2=array_merge($row2,array('aid' => $a)); syDB('message_field')->create($row2); if($this->my['id']!=0){ syDB('member_file')->update(array('hand'=>$this->syArgs('hand'),'uid'=>$this->my['id']),array('hand'=>0,'aid'=>$a,'molds' => 'message')); }else{ syDB('member_file')->update(array('hand'=>$this->syArgs('hand'),'ip'=>GetIP()),array('hand'=>0,'aid'=>$a,'molds' => 'message')); }
这里调用了这个函数。
$this->type=syDB('classtype')->find(array('tid'=>$tid),null,'molds,classname,msubmit'); if($this->type['msubmit']!=1){ $this->member->p_r($this->type['msubmit']); }
在这里验证了是否有发布的权限。 默认的 tid 8 23 11都有发布权限。
if($this->my['id']!=0){ syDB('member_file')->update(array('hand'=>$this->syArgs('hand'),'uid'=>$this->my['id']),array('hand'=>0,'aid'=>$a,'molds' => 'message')); }else{ syDB('member_file')->update(array('hand'=>$this->syArgs('hand'),'ip'=>GetIP()),array('hand'=>0,'aid'=>$a,'molds' => 'message')); }
然后在这里 判断了是否登录。 如果登录的话进入的那里是没有调用getip的而没登录的话 就调用了。所以这里我们不要登录。
注入成功 有图真真相。
过滤。
危害等级:无影响厂商忽略
忽略时间:2014-07-09 12:34
2014-04-18:正在修复