Walks

网络安全爱好者

代码审计:Discuz!X 3.4前台任意文件删除漏洞

前言:

学习代码审计中,毕竟不会代码审计的安全人员不是一个好的安全人员。这是我写代码审计的第一篇文章,之前复现了Discuz!X 3.4的任意文件删除,那么我就来写写这个漏洞的成因。这个漏洞在我博客也是可以找到的,所以前面的话也不多说了,直接开始分析吧。

漏洞分析:

这个漏洞的根本原因在于下图的代码

《代码审计:Discuz!X 3.4前台任意文件删除漏洞》

我们可以看到unlink函数后有个$space[$key],这个参数就是我们的个人设置,是从数据库中读取出来的,而从数据库中读取的数据是我们可以前台控制的数据,那么unlink后面的参数是不是就是可以控制的了。

在看别人的分析代码的时候,在这段代码之前也有个unlink,但是给修复了,所以不用管,我们这个这个版本的漏洞的成因就在这。

我们向前回溯一下,看看$space在哪

《代码审计:Discuz!X 3.4前台任意文件删除漏洞》

如图:$space = getuserbyuid($_G['uid']),就是获取uid相对应的用户

space_merge()函数的功能是把$space存入对应的数据表中,但是并无过滤

所以我们可以POST提交,修改个人资料,如下图,资料修改

《代码审计:Discuz!X 3.4前台任意文件删除漏洞》 

space_merge函数把存入数据表,下图birthprovince的数据,这里数据不一致的原因是我截图的时候是又测试了下是否可重装。

《代码审计:Discuz!X 3.4前台任意文件删除漏洞》

在最后,上传图片,满足我们这个漏洞的if语句,就达到了任意文件删除的目的。

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

− 2 = 4