VULHUB ™

### 简要描述： 在一定的情况下可以破坏SQL逻辑。 ### 详细说明： 这个有点不靠，不靠谱的前提： 1，http://drops.wooyun.org/papers/1404 2，arp 3，有其他方法获取siteuniqueid，按照安装的算法来暴力破解或其他 在dx/api/google/google.php内on_gtt函数内有一段代码： $posts = getgpc('post') ? explode(',', getgpc('post')) : array(); ``` if($posts) { $posts[0] = intval($posts[0]); $posts[1] = intval($posts[1]); $posts = implode(',', $posts); } ``` 这里$posts里的key 0 和key 1虽然都intval了，但是它还可以有key 3 key 4 key 5的，结果这个字符串被implode了。 这个$posts最后进入到了SQL查询里 ``` if($posts) { $pquery = DB::query("SELECT tid, pid, authorid, message FROM ".DB::table($tablename)." WHERE tid IN (".dimplode($tids).") AND first=0 LIMIT $posts", 'SILENT'); ``` ### 漏洞证明： 如上。

### 简要描述： 在一定的情况下可以破坏SQL逻辑。 ### 详细说明： 这个有点不靠，不靠谱的前提： 1，http://drops.wooyun.org/papers/1404 2，arp 3，有其他方法获取siteuniqueid，按照安装的算法来暴力破解或其他 在dx/api/google/google.php内on_gtt函数内有一段代码： $posts = getgpc('post') ? explode(',', getgpc('post')) : array(); ``` if($posts) { $posts[0] = intval($posts[0]); $posts[1] = intval($posts[1]); $posts = implode(',', $posts); } ``` 这里$posts里的key 0 和key 1虽然都intval了，但是它还可以有key 3 key 4 key 5的，结果这个字符串被implode了。 这个$posts最后进入到了SQL查询里 ``` if($posts) { $pquery = DB::query("SELECT tid, pid, authorid, message FROM ".DB::table($tablename)." WHERE tid IN (".dimplode($tids).") AND first=0 LIMIT $posts", 'SILENT'); ``` ### 漏洞证明： 如上。