逐梦论坛 - Powered by Discuz! Board

$pollarray['options'] = $polloption;
if($pollarray['options']) {
if(count($pollarray['options']) > $maxpolloptions) {
showmessage('post_poll_option_toomany');
}
foreach($pollarray['options'] as $key => $value) { //这里直接解析出来没处理$key
if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
unset($pollarray['options'][$key]);
}
}

复制代码

$key=addslashes($key);

复制代码

首先说一下这洞需要有权限发布投票才行刚注册的会员是不能发布投票的
我看了下默认发布投票需要的权限需要从注册会员开始才有发布投票的权限

看了一下注册会员所需要的积分是50分
50分上传个头像做个任务就差不多了(所以狗哥这不算限制条件把?)
_________________________________________________________________________
在post.php中
从263行开始也就是最后的那几行

if($action == 'newthread') {
($forum['allowpost'] == -1) && showmessage('forum_access_disallow');
require_once DISCUZ_ROOT.'./include/newthread.inc.php';
} elseif($action == 'reply') {
($forum['allowreply'] == -1) && showmessage('forum_access_disallow');
require_once DISCUZ_ROOT.'./include/newreply.inc.php';
} elseif($action == 'edit') {
($forum['allowpost'] == -1) && showmessage('forum_access_disallow');
require_once DISCUZ_ROOT.'./include/editpost.inc.php';
} elseif($action == 'newtrade') {
($forum['allowpost'] == -1) && showmessage('forum_access_disallow');
require_once DISCUZ_ROOT.'./include/newtrade.inc.php';
}

复制代码

包含了这么多文件进来我找了这个文件看了起来include/editpost.inc.php
然后在include/editpost.inc.php 第272行左右

if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls)) {
$pollarray = '';
$pollarray['options'] = $polloption;
if($pollarray['options']) {
if(count($pollarray['options']) > $maxpolloptions) {
showmessage('post_poll_option_toomany');
}
foreach($pollarray['options'] as $key => $value) {
if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
unset($pollarray['options'][$key]);
}
}
$polladd = ', special=\'1\'';

复制代码

foreach($pollarray['options'] as $key => $value) {

这里直接把数组中的key带入到了delete查询当中。

再来看一下dz的全局文件

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($_request as $_key => $_value) {
$_key{0} != '_' && $_key = daddslashes($_value);
}
}
code 区域function daddslashes($string, $force = 0) {
!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
$string = addslashes($string);
}
}
return $string;
}

复制代码

这里先判断了gpc是否开启如果没有开启就用addslashes再来转义

这里对数组中的value进行转义 key无过滤。

$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'

复制代码

所以再进行这个查询的时候我们就可以引入单引号了。
_______________________________________________________________
在执行循环之前有一个条件

if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls))

这里($alloweditpoll || $isorigauthor) $isorigauthor判断是不是你是作者如果你编辑的是你的文章的话肯定是true。 $polls 这个直接就可以控制。

$thread['special'] == 1 之前我一直在纠结这个是啥东西。。

后面看了看发文章的时候的代码这个$thread['special'] == 1代表的就是发布的是投票。

那如果我们自己发布一个投票然后再编辑就可以进入这里了。

首先发布一个投票。发布完后再点击编辑。
然后再抓一下包。
这里我输出了一下

$polladd = '';
if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls)) {
$pollarray = '';
$pollarray['options'] = $polloption;
var_dump ($polloption);exit;//输出

复制代码

我擦一看竟然已经有值了?

在这里我本来已经准备放弃了, 但是还是抱着试一试的态度在url写了这个

发现还是可以控制而且单引号理所应当的没有被转义。

那不是就可以注入了吗? 构造一下语句。

if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");

复制代码

因为这里数组中的value为false的时候才会进去
所以这里数组的value我们就不写

foreach($pollarray['options'] as $key => $value) {

　　$key=addslashes($key);

　　if(!trim($value)) {

　　$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");

? 还是看你们把。