0x01 前言

Discuz!X社區軟體，是一個採用PHP 和MySQL 等其他多種數據庫構建的性能優異、功能全面、安全穩定的社區論壇平台。

2017年9月29日，Discuz!修複了一個安全問題用於加強安全性，這個漏洞會導致前台用戶可以導致任意刪除檔案漏洞。

2017年9月29日，知道創宇404 實驗室開始應急，經過知道創宇404實驗室分析確認，該漏洞於2014年6月被提交到Wooyun漏洞平台，Seebug漏洞平台收錄了該漏洞，漏洞編號ssvid-93588。該漏洞通過配置屬性值，導致任意檔案刪除。

經過分析確認，原有的利用方式已經被修複，添加了對屬性的formtype判斷，但修複方式不完全導致可以繞過，通過模擬檔案上傳可以進入其他unlink條件，實現任意檔案刪除漏洞。

0x02 影響範圍

Discuz!X ≤3.4

0x03 漏洞分析

https://lorexxar.cn/2017/09/30/dz-delete/

0x04 漏洞複現

1、注冊一個用戶並成功登陸，之後在【設定】中找到自己的formhash:

然後發送post請求

home.php?mod=spacecp&ac=profile&op=base

POST的參數為：birthprovince=../../../robots.txt&profilesubmit=1&formhash=8b30b403

其中formhash替換為自己的formhash

刷新個人資料頁面就會看到出生地已經被我們插入髒數據.

2.在本地新建一個up.html，將html中的ip改為目標，將formhash改為自己的。 打開up.html,在本地選擇一張正常的圖片上傳，提交之後robots.txt已經被我們刪除。