Ucenter Home SQL注入漏洞详细分析(需要GPC=OFF)

最新推荐文章于 2026-02-14 00:33:16 发布
转载 最新推荐文章于 2026-02-14 00:33:16 发布 · 2k 阅读 · 0
标签
#Ucenter Home
本文深入探讨了两个SQL注入漏洞实例,详细分析了漏洞所在文件及代码逻辑,并提出了相应的防护措施。通过案例研究,揭示了GPC参数处理的不当之处可能导致的安全风险。

SQL Injection 1:

漏洞在文件\source\cp_profile.php 

<?php //  
.......省略.......

                //性别
                $_POST['sex'] = intval($_POST['sex']);
                if($_POST['sex'] && empty($space['sex'])) $setarr['sex'] = $_POST['sex'];
                
                foreach ($profilefields as $field => $value) {
                        if($value['formtype'] == 'select') $value['maxsize'] = 255;
                        $setarr['field_'.$field] = getstr($_POST['field_'.$field], $value['maxsize'], 1, 1);
                        if($value['required'] && empty($setarr['field_'.$field])) {
                                showmessage('field_required', '', 1, array($value['title']));
                        }
                }
                
                updatetable('spacefield', $setarr, array('uid'=>$_SGLOBAL['supe_uid']));
                
                //隐私
                $inserts = array();
                foreach ($_POST['friend'] as $key => $value) {
                        $value = intval($value);
                        $inserts[] = "('base','$key','$space[uid]','$value')"; //这是要干嘛? key没过滤 11年至今未修复
                }
                if($inserts) {
                        $_SGLOBAL['db']->query("DELETE FROM ".tname('spaceinfo')." WHERE uid='$space[uid]' AND type='base'");
                        $_SGLOBAL['db']->query("INSERT INTO ".tname('spaceinfo')." (type,subtype,uid,friend)
                                VALUES ".implode(',', $inserts)); //带入了 不解释...
                }

SQL Injection 2:

通读了一遍, 除了上面那个冷饭以外还有一个地方对KEY也没做处理, 导致注射:

 漏洞文件 \source\cp_privacy.php 

<?php //  
.......省略.......

} elseif(submitcheck('privacy2submit')) {

        //类型筛选
        $space['privacy']['filter_icon'] = array();
        foreach ($_POST['privacy']['filter_icon'] as $key => $value) {
                $space['privacy']['filter_icon'][$key] = 1;
        }
        //用户组设置
        $space['privacy']['filter_gid'] = array();
        foreach ($_POST['privacy']['filter_gid'] as $key => $value) {
                $space['privacy']['filter_gid'][$key] = intval($value);
        }
        
        //通知筛选
        $space['privacy']['filter_note'] = array();
        foreach ($_POST['privacy']['filter_note'] as $key => $value) { //此处开始把key转到$space['privacy']['filter_note'][$key]
                $space['privacy']['filter_note'][$key] = 1;
        }
        
        privacy_update();

        //更新好友缓存
        friend_cache($_SGLOBAL['supe_uid']);

        showmessage('do_success', 'cp.php?ac=privacy&op=view');
}

if($_GET['op'] == 'view') {
        //好友组
        
        $groups = getfriendgroup();
        //屏蔽
        $filter_icons = empty($space['privacy']['filter_icon'])?array():$space['privacy']['filter_icon']; //赋值到$filter_icons
        $filter_note = empty($space['privacy']['filter_note'])?array():$space['privacy']['filter_note'];
        $iconnames = $appids = $icons = $uids = $users = array();

.......省略.......
        

foreach ($filter_icons as $key => $value) {

list($icon, $uid) = explode('|', $key); //使用|分割 将key赋值到$uid 并未做任何过滤

$icons[$key] = $icon;

$uids[$key] = $uid; //此处写进$uids也没过滤

if(is_numeric($icon)) {

$appids[$key] = $icon;

}
}

if($uids) {
                $query = $_SGLOBAL['db']->query("SELECT uid, username FROM ".tname('space')." WHERE uid IN (".simplode($uids).")"); //射了射了射了射了射了射了射了射了射了射了射了射了射了射了射了射了
                $_SGLOBAL['db']->fetch_array($query);
while ($value = $_SGLOBAL['db']->fetch_array($query)) {
                        $users[$value['uid']] = $value['username'];
                }
        }
        //获取应用名称
        if($appids) {
                $query = $_SGLOBAL['db']->query("SELECT appid, appname FROM ".tname('myapp')." WHERE appid IN (".simplode($appids).")");
                while ($value = $_SGLOBAL['db']->fetch_array($query)) {
                        $iconnames[$value['appid']] = $value['appname'];
                }
        }
        
        $cat_actives = array('view' => ' class="active"');

}

 看看simplode函数吧~ 

function simplode($ids) {
        return "'".implode("','", $ids)."'"; //虽然有单引号, 但是程序并没有过滤post过去的KEY值, 所以在GPC=OFF的情况下可射.
}

测试图:

注意必须要先登录并且找到formhash, 登陆后源码里面就能找到

作者:Rices

修改UCenter创始人帐号密码工具
09-25
修改UCenter创始人帐号密码工具 修改UCenter创始人帐号密码工具
UCenter_1.6.0最新版本
03-07
UCenter_1.6.0最新版本 utf-8编码
漏洞复现-DiscuzX 系列全版本后台SQL注入漏洞
qq_59350385的博客
05-10 2435
目录 环境搭建 (1)源码下载: 漏洞检测 报错注入 写文件 漏洞分析 环境搭建 (1)源码下载: https://search.gitee.com/?skin=rec&type=repository&q=discuz git clonehttp://htts://gite.com/ComsenzDiscuzX.git 放置于web根目录,访问即可进入安装页面 (2)也可搭建vulhub靶场,启动discuz环境 漏洞检测 http://.....
微信活码系统 ucenter/index SQL注入漏洞复现
0xSec
11-21 637
微信活码系统 ucenter/index接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 此漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
北京亚鸿世纪互联网信息安全综合管理系统ucenter命令执行
weixin_43567873的博客
03-07 272
北京亚鸿世纪互联网信息安全综合管理系统ucenter命令执行
discuz api uc.php 漏洞,解读Discuz论坛程序中UCenter致命性UC_KEY漏洞
weixin_36146811的博客
03-18 1228
Discuz早已是朋友家喻户晓的程序了,几乎所有玩过论坛的朋友都或多或少知道它,但也因为这么大的平台(腾讯旗下品牌)也有着很严重的安全漏洞。所以以下图为例为大家展示一下!希望能够对大家有所帮助!Kiscu!是知名的开源论坛建站程序,在国内有着庞大的用户群体,一旦发生安全漏洞,做网站受影响网站将不计其数。有白帽发现Kiscuz!程序存在一个安全bug,在得知UC_KEY的情况下,可以轻松向站点写入后...
藏在UCenter设置里的陷阱:DiscuzX二次注入漏洞深度解剖
weixin_29234423的博客
02-14 747
本文深度剖析了DiscuzX后台UCenter设置中存在的二次SQL注入漏洞。攻击者可利用后台权限,将恶意代码写入配置文件,当系统后续读取配置并拼接SQL时触发注入,导致数据库信息泄露甚至服务器被控。文章详细拆解了漏洞从写入到触发的完整链条,并提供了根本性的防御策略与安全编码实践。
Discuz!7.2 SQL注入复现实验
Tranquillity
10-23 2929
0x01 实验准备 实验原理: 实验工具: UCenter Discuz 7.2安装包 实验环境: 安装 Discuz 网站的服务器(Windows) 安装 python 环境的攻击机 0x01 实验步骤 一、搭建环境 1. 安装UCenter 通过 http://192.168.88.129/dz7.2/upload/install/index.php 页面安装: 出现错误: 将UCenter文件放置在dz7.2文件夹下,访问http://192.168.88.129/dz7.2/UCente
Ucenter最新更新:优化兼容性与提升性能安全性
weixin_33506815的博客
08-09 1163
Ucenter作为一款广泛使用的用户中心管理系统,从其在早期的定位到现今的角色变化,一直是推动社区和各类应用集成的关键工具。它的核心功能包括但不限于用户信息管理、权限分配以及用户行为追踪等,这些功能在构建用户系统和管理用户数据时发挥着巨大作用。在集成环境中,Ucenter表现出了显著的优势,它通过提供标准化的接口,使得在不同的应用和系统之间进行用户数据的同步和交互变得轻而易举,极大地提升了效率和用户体验。接下来的章节将深入探讨Ucenter的更多细节和优势。
MKcms漏洞合集
2301_80115097的博客
04-26 1005
MKCMS5.0是一款基于PHP+MYSQL开发制作的专业全自动采集电影网站源码。程序不需授权上传直接使用,自动更新电影,无人值守!完整的会员影视中心 后台可对接卡盟 可以设置收费观看模式。下载地址:链接:https://pan.baidu.com/s/12HsPtKN8ECIAv3QNy6rSwg提取码:zkaq源码放在phpstudy根目录下。访问:http://127.0.0.1/MKCMS5.0/install/
discuz7.2sql注入漏洞
weixin_40709439的博客
09-20 9077
今天尝试了discuz7.2动力论坛的sql注入漏洞 原因是由faq.php文件源码存在漏洞引起的 下载官方discuz7.2源码,在本地搭建漏洞环境 http://www.comsenz.com/downloads/install/discuz 下载的三个文件 利用http://localhost:8088/discuz72/upload/install/index.php进行安装...
关于Discuz! X系列远程代码执行漏洞
weixin_34306676的博客
11-16 677
一、漏洞起源 突然有同事反馈,无法注册   看到这里不了解的同行估计一年懵逼,这里也是常用的漏洞攻击,可以肯定的是  badwords.php文件被修改了 ,可以查看这个文件内容 &lt;?php $_CACHE['badwords'] = array ( 'findpattern' =&gt; array ( 'balabala' =&gt; '/.*/...
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 4787
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
payload sql注入_【安全通报】Discuz! X后台SQL注入漏洞安全风险公告
weixin_39531688的博客
12-20 298
↑ 点击上方蓝色字关注我们近日,Discuz! X的管理员后台SQL注入具体利用细节被披露。Discuz! 是一套基于PHP+MYSQL开发的通用性社区论坛软件系统,在国内备受用户喜爱,用户量较大。该漏洞成因是由于将appid值写入配置文件config_ucenter.php之中未进行严格的过滤。在页面刷新的时,会将config_ucenter.php中的UC_APPID取出,并拼接进S...
UCenter_1.6.0:最新跨站用户管理与认证解决方案
weixin_42309599的博客
08-22 1044
UCenter作为一款强大的社区整合系统,拥有在社区网站整合中的重要作用。UCenter不仅能够帮助用户进行统一的社区管理,还能够促进不同社区间的融合与协作。UCenter作为一种社区集成平台,旨在为不同的社区提供一个统一的管理系统。其主要功能包括用户管理和认证服务,它允许管理员将多个社区网站或应用集成到一个单一的登录和管理系统中,从而简化了用户管理和数据同步过程。在UCenter中,用户管理功能是其核心组成部分,它提供了用户注册、登录以及后续的管理机制。
ucenter导入用户的sql语句
-=海 阔 天 空=-
07-25 1254
insert into pre_ucenter_members(uid,username,password,email,regip,regdate,lastloginip,lastlogintime,salt) values(3,'abc','c0516bbf84b24b3cd80387fefb894f3a','c@1.com','192.168.0.111','1343182712',0,0,'
分析dz 7.2 漏洞
sky_die的专栏
07-12 1343
作为小白,自学时一件比较头痛的事,最主要是看到一个漏洞你要去分析,和要有对应环境去尝试。。。我这里就完全搭建一次环境,并且最后会提到去发现漏洞网站的方法。   第一步我们要去下载DZ7.2和UCENTER DZ7.2                    http://www.comsenz.com/downloads/install/discuz#down_open ucenter(一个管
记录解决UCenter 1.6 DISCUZ 3.1 和 ECmall 2.3 中EC点击退出无法同步其他应用退出的问题...
weixin_33813128的博客
03-04 163
如标题所述: 前段时间因为项目问题,使用最新的UCenter 1.6版本整合 Discuz 3.1 版本 、ECmall 2.3 版本应用的需求,由于ECmall 已退出 良久无法得到官方的更新维护,所以无法跟上UC的步伐,导致EC无法实现同步问题。 获取UC客户端最新uc_client文件覆盖EC的客户端文件,虽然能够实现同步登录,以及当论坛点击退出的时候能够实...
Ucenter升级到1.6.0版本【ucenter
weixin_30561177的博客
03-13 519
前言: 很多论坛依旧使用的是discuz!7.2版本的ucenter数据较交互,但是如果你要让论坛升级到discuz!x系列版本的话就会发现说你的ucenter版本太低了,或者是导致你通过ucenter重新安装discuz!x系列版本的论坛会提示你安装不上,就会提示需要升级ucenter的版本, 下面我就如何升级discuz!7.2版本中的ucenter1.5.1到最新版本Uc...
【创新未发表】绿电直连型电氢氨园区优化运行研究(Matlab代码、Python、数据、word论文)
最新发布
06-20
内容概要:本研究聚焦于绿电直连型电氢氨园区的优化运行,提出一种集成绿色电力直接供给、电解水制氢及氢气合成氨工艺的综合能源系统架构。通过建立包含风光发电、电解槽、氨合成反应器、储氢罐、电网交互及多类型负荷在内的系统模型,综合考虑绿电直供优先、能量梯级利用与多能互补原则,构建以系统综合运行成本最小化为目标的优化调度模型。研究采用Matlab与Python工具进行算法求解和仿真分析,利用实际气象与负荷数据完成案例验证,评估了不同运行策略下系统的经济性、可再生能源消纳能力与碳减排效益,为新型电氢氨一体化园区的规划与运行提供了理论依据和技术支撑。; 适合人群:具备一定电力系统、新能源或化工背景的研究生、科研人员及从事综合能源系统规划与优化工作的工程技术人员。; 使用场景及目标:①用于科研学习,理解电-氢-氨多能转换系统的建模与优化方法;②为工业园区的低碳化、智能化改造提供技术参考与决策支持;③作为开发类似综合能源管理系统的理论基础。; 阅读建议:此资源包含完整的模型代码、数据与论文,使用者应结合代码仔细研读论文中的模型构建部分,重点关注目标函数与约束条件的设计逻辑,并尝试修改参数进行仿真,以深入掌握优化算法在实际系统中的应用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值