0x01 前言

Discuz!X社區軟件，是一個採用PHP 和MySQL 等其他多種數據庫構建的性能優異、功能全面、安全穩定的社區論壇平臺。

2017年9月29日，Discuz!修復了一個安全問題用於加強安全性，這個漏洞會導致前臺用戶可以導致任意刪除文件漏洞。

2017年9月29日，知道創宇404 實驗室開始應急，經過知道創宇404實驗室分析確認，該漏洞於2014年6月被提交到Wooyun漏洞平臺，Seebug漏洞平臺收錄了該漏洞，漏洞編號ssvid-93588。該漏洞通過配置屬性值，導致任意文件刪除。

經過分析確認，原有的利用方式已經被修復，添加了對屬性的formtype判斷，但修復方式不完全導致可以繞過，通過模擬文件上傳可以進入其他unlink條件，實現任意文件刪除漏洞。

0x02 影響範圍

Discuz!X ≤3.4

0x03 漏洞分析

https://lorexxar.cn/2017/09/30/dz-delete/

0x04 漏洞復現

1、註冊一個用戶併成功登陸，之後在【設置】中找到自己的formhash:

然後發送post請求

home.php?mod=spacecp&ac=profile&op=base
POST的參數為：birthprovince=../../../robots.txt&profilesubmit=1&formhash=8b30b403
其中formhash替換為自己的formhash

刷新個人資料頁面就會看到出生地已經被我們插入髒數據.

2.在本地新建一個up.html，將html中的ip改為目標，將formhash改為自己的。 打開up.html,在本地選擇一張正常的圖片上傳，提交之後robots.txt已經被我們刪除。

閱讀更多 Web安全陪跑團 的文章

關鍵字: HTML 刪除 任意