詳細說明：

漏洞文件在table.php中的sql_update($tbname,$row,$where) 函數(shù)

function sql_update($tbname,$row,$where) {
$sqlud='';
if (is_string($row))
$sqlud=$row.' ';
else
foreach ($row as $key=>$value) {
if (in_array($key,explode(',',$this->getcolslist()))) {
$value=addslashes($value);
if (preg_match('/^\[(.*)\]$/',$value,$match))
$sqlud .= "`$key`"."= ".$match[1].",";
elseif ($value === "")
$sqlud .= "`$key`= NULL, ";
else
$sqlud .= "`$key`"."= '".$value."',";
}
}
$sqlud=rtrim($sqlud); www.jb51.net
$sqlud=rtrim($sqlud,',');
$this->condition($where);
$sql="UPDATE `".$tbname."` SET ".$sqlud." WHERE ".$where;
return $sql;
}

循環(huán)遍歷POST 值 然后直接寫入數(shù)據(jù)庫更新 導(dǎo)致用戶可以自定義權(quán)限判斷字段
權(quán)限提升漏洞
漏洞證明：注冊用戶名

編輯資料



得到管理權(quán)限(ps: 后臺超炫)



GetShell





修復(fù)方案：

不要把前臺用戶和普通會員放到一個表,任意權(quán)限提升, 取消table.php 中的函數(shù)sql_update 函數(shù) 或做出相應(yīng)過濾 。

可以暫時先關(guān)閉注冊

作者 CodePlay 【

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。