DiscuzX任意文件操作漏洞的解决办法
说明:漏洞实际上是任意文件删除,但是由于删除的函数容易被定位,所以不方便写在简要描述或标题内。
DiscuzX 3.2的代码,在
source/include/spacecp/spacecp_profile.php 中找到以下代码:
往上跟发现$_GET['deletefile']没有任何处理,$space[$key]来自
思路:
需要在$space变量中找到一个存在需要被删除的文件的位置,我用的字段是birthprovince。
第一次在birthprovince里加上我们要删除的文件然后保存资料,下次我们提交$_GET['deletefile'][birthprovince],那么$space[birthprovince]指向的文件就会被删除。
提交birthprovince为../../../robots.txt
保存完之后,数据库里的$space['birthprovice']会成为../../../robots.txt,当我们提交$_GET['deletefile'][birthprovince]的时候,会去删除$space['birthprovice']指向的文件。
操作步骤:
那么登陆后提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0
注意,85cf7ef0是你的formhash。
http://localhost/dx/home.php?mod=spacecp&ac=profile&op=base
提示保存成功
这个时候birthprovince就是../../../robots.txt,产生的$space['birthprovince']就是../../../robots.txt了。
接下来进行参数的操作,提交:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=85cf7ef0
到
http://localhost/study/dx/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa
文件就被顺利删除了。
修复方案:
检查下deletefile指向的key是不是自定义字段里允许FILES的字段。