Discuz!X ≤3.4 任意文件刪除漏洞分析

作者：LoRexxar'@知道創宇404實驗室
日期：2017年9月30日英文版本：http://www.bjnorthway.com/1101/

Discuz!X社區軟件，是一個采用 PHP 和 MySQL 等其他多種數據庫構建的性能優異、功能全面、安全穩定的社區論壇平臺。

2017年9月29日，Discuz!修復了一個安全問題用于加強安全性，這個漏洞會導致前臺用戶可以導致任意刪除文件漏洞。

2017年9月29日，知道創宇404 實驗室開始應急，經過知道創宇404實驗室分析確認，該漏洞于2014年6月被提交到 Wooyun漏洞平臺，Seebug漏洞平臺收錄了該漏洞，漏洞編號 ssvid-93588。該漏洞通過配置屬性值，導致任意文件刪除。

經過分析確認，原有的利用方式已經被修復，添加了對屬性的 formtype 判斷，但修復方式不完全導致可以繞過，通過模擬文件上傳可以進入其他 unlink 條件，實現任意文件刪除漏洞。

登陸DZ前臺賬戶并在當前目錄下新建 test.txt 用于測試

請求

home.php?mod=spacecp&ac=profile&op=base
POST birthprovince=../../../test.txt&profilesubmit=1&formhash=b644603b
其中formhash為用戶hash

修改成功之后出生地就會變為../../../test.txt

構造請求向home.php?mod=spacecp&ac=profile&op=base上傳文件（普通圖片即可）

請求后文件被刪除

Discuz!X 的碼云已經更新修復了該漏洞

核心問題在upload/source/include/spacecp/spacecp_profile.php

跟入代碼70行

if(submitcheck('profilesubmit')) {

當提交 profilesubmit 時進入判斷，跟入177行

我們發現如果滿足配置文件中某個 formtype 的類型為 file，我們就可以進入判斷邏輯，這里我們嘗試把配置輸出出來看看

我們發現formtype字段和條件不符，這里代碼的邏輯已經走不進去了

我們接著看這次修復的改動，可以發現228行再次引入語句 unlink

@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);

回溯進入條件

當上傳文件并上傳成功，即可進入 unlink 語句

然后回溯變量$space[$key],不難發現這就是用戶的個人設置。

只要找到一個可以控制的變量即可，這里選擇了 birthprovince。

在設置頁面直接提交就可以繞過字段內容的限制了。

成功實現了任意文件刪除

在更新了代碼改動之后，通過跟蹤漏洞點邏輯，我們逐漸發現，該漏洞點在 2014 年被白帽子提交到 Wooyun平臺上，漏洞編號wooyun-2014-065513。

由于DZ的舊版代碼更新流程不完整，已經沒辦法找到對應的補丁了，回溯到 2013 年的 DZ3 版本中，我們發現了舊的漏洞代碼

在白帽子提出漏洞，可以通過設置個人設置來控制本來不可控制的變量，并提出了其中一種利用方式。

廠商僅對于白帽子的攻擊 poc 進行了相應的修復，導致幾年后漏洞再次爆出，dz 才徹底刪除了這部分代碼...

期間廠商對于安全問題的解決態度值得反思...

Paper 本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/411/

目錄