Discuz! X3.4后台文件任意删除漏洞分析报告<\/h1>

漏洞概述<\/h2>
Discuz! X3.4后台存在一个任意文件删除漏洞，攻击者需要管理员权限才能利用此漏洞。该漏洞位于`source\/admincp\/admincp_forums.php<\/code>文件中，由于对用户输入过滤不严，导致攻击者可以删除服务器上的任意文件。<\/p>`

漏洞详情<\/h2>
漏洞位置<\/h3>
source\/admincp\/admincp_forums.php<\/code>文件第1793-1799行<\/p>
漏洞代码分析<\/h3>
if<\/span>(!<\/span>$multiset) {
<\/span><\/span>   if<\/span>($_GET['delreplybg'<\/span>]) {
<\/span><\/span>      $valueparse =<\/span> parse_url<\/span>($_GET['replybgnew'<\/span>]);
<\/span><\/span>      if<\/span>(!<\/span>isset<\/span>($valueparse['host'<\/span>]) &&<\/span> file_exists<\/span>($_G['setting'<\/span>]['attachurl'<\/span>].<\/span>'common\/'<\/span>.<\/span>$_GET['replybgnew'<\/span>])) {
<\/span><\/span>         @<\/span>unlink<\/span>($_G['setting'<\/span>]['attachurl'<\/span>].<\/span>'common\/'<\/span>.<\/span>$_GET['replybgnew'<\/span>]);
<\/span><\/span>      }
<\/span><\/span>      $_GET['replybgnew'<\/span>] =<\/span> ''<\/span>;
<\/span><\/span>   }
<\/span><\/span><\/code><\/pre>代码执行流程<\/h3>

检查$multiset<\/code>是否为假（默认为0）<\/li>
检查是否存在$_GET['delreplybg']<\/code>参数<\/li>
对$_GET['replybgnew']<\/code>进行URL解析<\/li>
检查解析结果中是否不包含host字段（防止URL输入）<\/li>
检查文件是否存在<\/li>
使用unlink()<\/code>函数删除文件<\/li>
<\/ol>
漏洞利用条件<\/h3>

需要管理员后台权限<\/li>
需要知道目标文件的相对路径<\/li>
<\/ul>
漏洞利用<\/h2>
利用步骤<\/h3>

登录Discuz!后台<\/li>
进入"论坛"->"模块管理"<\/li>
点击"提交"按钮<\/li>
在请求中添加参数：&replybgnew=..\/..\/..\/index.php&delreplybg=1<\/code><\/li>
<\/ol>
参数说明<\/h3>

replybgnew<\/code>: 指定要删除的文件路径（可使用..\/<\/code>进行目录遍历）<\/li>
delreplybg<\/code>: 触发删除操作的标志<\/li>
<\/ul>
实际效果<\/h3>
上述利用方式会删除网站根目录下的index.php<\/code>文件<\/p>
漏洞修复<\/h2>
临时修复方案<\/h3>

删除安装脚本（Discuz! X3.4安装后默认会删除安装脚本）<\/li>
限制后台访问IP<\/li>
<\/ol>
根本修复方案<\/h3>

对用户输入进行严格过滤<\/li>
限制文件删除操作的范围<\/li>
添加CSRF防护<\/li>
<\/ol>
技术细节<\/h2>
关键变量分析<\/h3>

$_G['setting']['attachurl']<\/code>: 默认值为data\/attachment\/<\/code><\/li>
最终删除路径前缀: data\/attachment\/common\/<\/code><\/li>
<\/ul>
绕过分析<\/h3>
虽然代码使用parse_url()<\/code>检查输入是否为URL，但可以通过目录遍历(..\/<\/code>)访问任意文件<\/p>
安全建议<\/h2>

及时更新Discuz!到最新版本<\/li>
限制后台管理员权限<\/li>
定期检查服务器文件完整性<\/li>
实施最小权限原则<\/li>
对关键操作添加二次确认<\/li>
<\/ol>
参考链接<\/h2>

项目地址: https:\/\/gitee.com\/ComsenzDiscuz\/DiscuzX\/tree\/master<\/li>
漏洞发现者: 晏师傅<\/li>
<\/ul>
总结<\/h2>
该漏洞虽然需要管理员权限，但危害性仍然较大，可能导致网站服务中断。建议管理员及时检查系统安全状况，并采取相应的防护措施。<\/p>

Discuz! X3.4后台文件任意删除漏洞分析报告<\/h1>

漏洞概述<\/h2>
Discuz! X3.4后台存在一个任意文件删除漏洞，攻击者需要管理员权限才能利用此漏洞。该漏洞位于`source\/admincp\/admincp_forums.php<\/code>文件中，由于对用户输入过滤不严，导致攻击者可以删除服务器上的任意文件。<\/p>`

漏洞位置<\/h3>
`source\/admincp\/admincp_forums.php<\/code>文件第1793-1799行<\/p>`

漏洞利用<\/h2>

实际效果<\/h3>
上述利用方式会删除网站根目录下的`index.php<\/code>文件<\/p>`

技术细节<\/h2>

绕过分析<\/h3>
虽然代码使用`parse_url()<\/code>检查输入是否为URL，但可以通过目录遍历(..\/<\/code>)访问任意文件<\/p>`

总结<\/h2>
该漏洞虽然需要管理员权限，但危害性仍然较大，可能导致网站服务中断。建议管理员及时检查系统安全状况，并采取相应的防护措施。<\/p>

Discuz! X3.4后台文件任意删除漏洞分析报告<\/h1>

漏洞概述<\/h2> Discuz! X3.4后台存在一个任意文件删除漏洞，攻击者需要管理员权限才能利用此漏洞。该漏洞位于source\/admincp\/admincp_forums.php<\/code>文件中，由于对用户输入过滤不严，导致攻击者可以删除服务器上的任意文件。<\/p>

漏洞位置<\/h3> source\/admincp\/admincp_forums.php<\/code>文件第1793-1799行<\/p>

漏洞利用<\/h2>

实际效果<\/h3> 上述利用方式会删除网站根目录下的index.php<\/code>文件<\/p>

技术细节<\/h2>

绕过分析<\/h3> 虽然代码使用parse_url()<\/code>检查输入是否为URL，但可以通过目录遍历(..\/<\/code>)访问任意文件<\/p>

总结<\/h2> 该漏洞虽然需要管理员权限，但危害性仍然较大，可能导致网站服务中断。建议管理员及时检查系统安全状况，并采取相应的防护措施。<\/p>

漏洞位置<\/h3>
`source\/admincp\/admincp_forums.php<\/code>文件第1793-1799行<\/p>`

实际效果<\/h3>
上述利用方式会删除网站根目录下的`index.php<\/code>文件<\/p>`

绕过分析<\/h3>
虽然代码使用`parse_url()<\/code>检查输入是否为URL，但可以通过目录遍历(..\/<\/code>)访问任意文件<\/p>`

总结<\/h2>
该漏洞虽然需要管理员权限，但危害性仍然较大，可能导致网站服务中断。建议管理员及时检查系统安全状况，并采取相应的防护措施。<\/p>