Musec---出道早，技术菜。

简要描述：

绕过附件下载权限只是漏洞的一个应用，还可以免费下载附件，其他的应用还没发掘..

详细说明：

在下载附件的时候，附件所设置的“阅读权限”可以被绕过。



Discuz的附件下载地址是类似

forum.php?mod=attachment&aid=Nzg4fDQwNGQzYjMxfDEzODk2OTM4Mzh8MzEyNTR8MjY3Mw%3D%3D

这样的地址，其中的aid参数是一串base64，解码后是：

788|404d3b31|1389693838|31254|2673

这串aid在source/module/forum/forum_attachment.php 中被这样解析

@list($_GET['aid'], $_GET['k'], $_GET['t'], $_GET['uid'], $_GET['tableid']) = daddslashes(explode('|', base64_decode($_GET['aid'])));

之前提交的 788|404d3b31|1389693838|31254|2673 中的 31254 就是登录用户的UID，它被赋值进了 $_GET['uid'] 变量。



紧接着：

if($_GET['uid'] != $_G['uid'] && $_GET['uid']) {
$_G['uid'] = $_GET['uid'] = intval($_GET['uid']);
......
}

如果用户提交的uid和当前登录的uid不同，DZ就会将用户所提交的uid赋值给discuz的全局使用变量$_G



也就是说，用户可以在下载附件时，任意“伪造”自己的身份。

但好在，这个php只能用于下载附件，不会造成更大的安全问题。

但不可避免的，由于缺少了必要的过滤，还是会造成一些低危漏洞。



这部分内容在漏洞证明中说明。

漏洞证明：

越权下载含有“阅读权限”的插件、下载插件免扣币



重现步骤：

1、使用管理员账户，上传一个有高阅读权限的附件

2、使用低权限的用户账户，下载附件，这个时候，Discuz会提示无权下载

此时，浏览器中的附件地址形如

forum.php?mod=attachment&aid=Nzg4fDQwNGQzYjMxfDEzODk2OTM4Mzh8MzEyNTR8MjY3Mw%3D%3D

解码aid

788|404d3b31|1389693838|31254|2673

修改其中的uid部分（这里将uid改成了管理员账户：1）

788|404d3b31|1389693838|1|2673

编码修改后的aid

forum.php?mod=attachment&aid=Nzg4fDQwNGQzYjMxfDEzODk2OTM4Mzh8MXwyNjcz

此时，成功下载原本需要高权限的附件



另外下载的同时还可能会刷新用户的最后登录时间（我也因为这个巧合才发现这个漏洞的，因为某些cdn把地址里的base64全部小写了，造成解析错误，解析成了别人的uid，顺便刷新了最后登录时间）

修复方案：

附件下载是有key校验的，可以将uid也加入key校验中，防止用户随意修改