Discuz! X 系列论坛 个人资料处 前台任意文件删除漏洞的测试以及修补方法

璁哄潧

确认有该漏洞的版本包括:X3.2/X3.1/X3.0/X2.5/X2/X1.5.1/X1.5 除了X1版本以外，其他版本都有影响，此漏洞共潜伏了5到7年左右，没有修复的请尽快修复。
漏洞利用测试：
论坛根目录新建一个 test.txt 的空白文本文档用于漏洞测试。
我们默认用IE10浏览器进行的代码修改，其他浏览器没有测试，应该也可以。
进入个人资料设置页面，用IE10浏览器 按下F12键，查找 北京市 3个字：
将上行代码的value值改为../../../test.txt。

资料保存以后，出生地应该为以下数据：

再次按下F12 查找 <form 第一个是搜索框表单，第二个是提交资料用的，我们要找的是第二个form标签：
将其参数action的值修改为以下值：

1. home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa

复制代码

按下Alt+E 进入代码编辑模式。
在此form标签下方插入以下代码：

1. <input type="file" name="birthprovince" id="file" >

复制代码

再次按下Alt+E 发现个人资料里出现一个可以上传文件的表单，我们随机上传一张图片，不要太大：

资料提交成功以后，出生地变为以下数据，同时论坛根目录的test.txt会消失：


漏洞修复方法：
用记事本打开以下文件 /source/include/spacecp/spacecp_profile.php 查找以下代码：

1. @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);

复制代码

将其替换为以下代码：

1. @unlink(getglobal('setting/attachdir').'./profile/'.basename($space[$key]));

复制代码

再次查找以下代码：

1. @unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);

复制代码

将其替换为以下代码：

1. @unlink(getglobal('setting/attachdir').'./profile/'.basename($verifyinfo['field'][$key]));

复制代码

以上代码在该文件中多行出现，按Ctrl+H替换即可。

注意：
修改此类文件记得备份，防止修改错误出现异常。
多次测试不成功可能是打上了漏洞补丁。

主人

蓝肉湘兔 发表于 2017-10-16 07:57
假设穿越到N年前用这个漏洞，就与现在的wannacry差不多。

漏洞类型就不一样，这个只能删任意文件，那个能运行任意程序。

66大顺

0-0 发表于 2018-2-7 16:51
然后把某论坛的class_core.php删了，最后全挂了。

别拿去干好事哦。

樱桃

愿望 发表于 2018-4-18 09:02
楼主这个用户名啥意思???

应该是随便起的

Kuni7wa

这漏洞厉害了，存在了几年竟然神不知鬼不觉的。

CNWTEPRG

同时有1张图片上传了上去，更高级的补丁只有官方处理的了。

好几个8

假设穿越到N年前用这个漏洞，就与现在的wannacry差不多。

樱桃

然后把某论坛的class_core.php删了，最后全挂了。

愿望

楼主这个用户名啥意思???

樱桃

最6的我 发表于 2018-2-9 10:17
别拿去干好事哦。

好的