Discuz!X ≤3.4 任意文件刪除漏洞分析
責編:admin |2017-10-12 11:39:12作者:知道創宇404實驗室
0x01 簡述
Discuz!X社區軟件,是一個采用 PHP 和 MySQL 等其他多種數據庫構建的性能優異、功能全面、安全穩定的社區論壇平臺。
2017年9月29日,Discuz!修復了一個安全問題用于加強安全性,這個漏洞會導致前臺用戶可以導致任意刪除文件漏洞。
2017年9月29日,知道創宇404 實驗室開始應急,經過知道創宇404實驗室分析確認,該漏洞于2014年6月被提交到 Wooyun漏洞平臺,Seebug漏洞平臺收錄了該漏洞,漏洞編號 ssvid-93588。該漏洞通過配置屬性值,導致任意文件刪除。
經過分析確認,原有的利用方式已經被修復,添加了對屬性的 formtype 判斷,但修復方式不完全導致可以繞過,通過模擬文件上傳可以進入其他 unlink 條件,實現任意文件刪除漏洞。
0x02 復現
登陸DZ前臺賬戶并在當前目錄下新建 test.txt 用于測試
請求
home.php?mod=spacecp&ac=profile&op=base POST birthprovince=../../../test.txt&profilesubmit=1&formhash=b644603b 其中formhash為用戶hash
修改成功之后出生地就會變為../../../test.txt
構造請求向home.php?mod=spacecp&ac=profile&op=base上傳文件(普通圖片即可)
請求后文件被刪除 
0x03 漏洞分析
Discuz!X 的碼云已經更新修復了該漏洞
https://gitee.com/ComsenzDiscuz/DiscuzX/commit/7d603a197c2717ef1d7e9ba654cf72aa42d3e574
核心問題在upload/source/include/spacecp/spacecp_profile.php
跟入代碼70行
if(submitcheck('profilesubmit')) {
當提交 profilesubmit 時進入判斷,跟入177行
我們發現如果滿足配置文件中某個 formtype 的類型為 file,我們就可以進入判斷邏輯,這里我們嘗試把配置輸出出來看看
我們發現formtype字段和條件不符,這里代碼的邏輯已經走不進去了
我們接著看這次修復的改動,可以發現228行再次引入語句 unlink
@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
回溯進入條件 
當上傳文件并上傳成功,即可進入 unlink 語句
然后回溯變量$space[$key],不難發現這就是用戶的個人設置。
只要找到一個可以控制的變量即可,這里選擇了 birthprovince。
在設置頁面直接提交就可以繞過字段內容的限制了。
成功實現了任意文件刪除
0x04 說在最后
在更新了代碼改動之后,通過跟蹤漏洞點邏輯,我們逐漸發現,該漏洞點在 2014 年被白帽子提交到 Wooyun平臺上,漏洞編號wooyun-2014-065513。
由于DZ的舊版代碼更新流程不完整,已經沒辦法找到對應的補丁了,回溯到 2013 年的 DZ3 版本中,我們發現了舊的漏洞代碼
在白帽子提出漏洞,可以通過設置個人設置來控制本來不可控制的變量,并提出了其中一種利用方式。
廠商僅對于白帽子的攻擊 poc 進行了相應的修復,導致幾年后漏洞再次爆出,dz 才徹底刪除了這部分代碼…
期間廠商對于安全問題的解決態度值得反思…
0x05 Reference
- [1] Discuz!官網
http://www.discuz.net - [2] Discuz!更新補丁
https://gitee.com/ComsenzDiscuz/DiscuzX/commit/7d603a197c2717ef1d7e9ba654cf72aa42d3e574 - [3] Seebug漏洞平臺收錄地址
https://www.seebug.org/vuldb/ssvid-93588