开源 CMS 安全加固实战：Discuz! 漏洞挖掘与修复

Discuz! 作为国内使用率 Top3 的开源论坛 CMS，因部署门槛低、插件生态丰富，成为中小企业建站首选。但开源特性导致其漏洞易被公开利用 ——2025 年 8 月披露的 “配置文件写入代码执行漏洞”，已造成超千个未加固站点被植入挖矿程序。本文通过 “环境搭建→高危漏洞实战挖掘→分层修复→渗透报告输出” 四步，帮你从 “被动防御” 转向 “主动加固”。

一、实战环境搭建：可复现的 Discuz! 测试栈

漏洞挖掘需基于独立测试环境，避免影响生产系统，推荐 “phpStudy+Discuz! X3.4” 组合（2025 年漏洞高发版本）：

1. 环境配置清单

组件	版本选择	核心原因
集成环境	phpStudy 8.1	一键部署 LAMP/LEMP，支持版本切换
PHP	5.4.5	兼容 Discuz! X3.4，且易触发部分历史漏洞
Web 服务器	Nginx 1.21.6	模拟真实生产环境，便于测试解析漏洞
数据库	MySQL 5.7.36	匹配 Discuz! 官方推荐版本
Discuz!	X3.4 20241201 版	含 2025 年漏洞修复前的关键模块

2. 部署步骤（3 分钟快速落地）

1. 环境初始化：启动 phpStudy，开启 Nginx+MySQL，创建数据库discuz_test（字符集 utf8mb4）；

2. 源码部署：解压 Discuz! 源码至phpStudy/www/discuz，访问http://192.168.71.1/discuz/install；

3. 安装配置：按引导填写数据库信息（root/root），设置管理员账号admin/Admin@123，跳过联系方式填写；

4. 环境验证：访问首页显示论坛界面，登录后台admin.php成功，环境搭建完成。

二、高危漏洞实战挖掘：3 类必查漏洞与复现

基于 2025 年 Discuz! 漏洞报告，筛选 “利用门槛低、危害等级高” 的 3 类漏洞，附完整挖掘流程：

1. 漏洞 1：配置文件写入导致代码执行（2025 年 8 月高危）

（1）漏洞原理

安装阶段install/index.php第 478 行，写入config/config_global.php时未过滤用户可控参数，且 “配置写入” 与 “生成 install.lock” 为两个独立数据包 —— 攻击者可重复发送恶意配置请求，注入 PHP 代码。

（2）挖掘复现步骤

1. 前置条件：站点未删除 install 目录（生产环境常见疏漏）；

2. 抓包篡改：访问安装页面，拦截 “写入配置” 请求（URL：install/index.php?step=5），修改dbhost参数为恶意 Payload：

localhost');@eval($_POST['shell']);//

1. 代码注入：发送请求后，访问config/config_global.php，确认恶意代码已写入；

2. getshell 验证：用蚁剑连接，密码shell，成功获取服务器权限。

（3）漏洞验证凭证

• 注入 URL：http://192.168.71.1/discuz/install/index.php?step=5

• 恶意 Payload：dbhost=localhost’);@eval($_POST[‘shell’]);//

• 验证结果：成功写入配置文件，获取 webshell（权限：www-data）

2. 漏洞 2：faq.php SQL 注入（X3.4 全版本影响）

（1）漏洞原理

faq.php中action=grouppermission分支，对用户传入的$gids数组未做类型校验，直接通过implodeids()拼接进 SQL 语句，导致注入漏洞。

（2）挖掘复现步骤

1. 漏洞触发：构造 URL，传入恶意gids参数：

http://192.168.71.1/discuz/faq.php?action=grouppermission&gids[0][0]=1' UNION SELECT 1,2,3,4,5,6,7,8,concat(username,':',password) FROM pre_ucenter_members--+

1. 数据提取：执行后页面返回管理员账号密码哈希：admin:65e5bcda83110319d7a946d895900b4e；

2. 哈希破解：用 John the Ripper 破解得明文Admin@123，与初始配置一致。

（3）核心代码分析

// faq.php 第148行风险代码
foreach($gids as $row) {
    $groupids[] = $row[0]; // 未校验$row[0]类型与内容
}
$query = $db->query("SELECT * FROM {$tablepre}usergroups u WHERE u.groupid IN (".implodeids($groupids).")");

3. 漏洞 3：后台任意文件读取（<=X3.4 修复前版本）

（1）漏洞原理

后台 “数据库备份” 功能中，未过滤备份文件名参数，攻击者可通过构造路径遍历 Payload，读取服务器敏感文件。

（2）挖掘复现步骤

1. 登录后台：用admin/Admin@123登录admin.php；

2. 功能定位：进入 “工具→数据库→备份数据”，勾选任意表，点击 “开始备份”；

3. 抓包篡改：拦截备份请求，修改filename参数为…/…/…/…/etc/passwd；

4. 文件读取：发送请求后，页面返回 Linux 用户列表，验证漏洞存在。

三、分层加固方案：从代码到运维的全维度防御

针对上述漏洞，结合 Discuz! 特性设计 “代码修复 - 配置加固 - 运维管控” 三层防护体系：

1. 第一层：代码级修复（根治漏洞根源）

（1）配置文件写入漏洞修复

修改install/index.php第 478 行，对写入参数进行单引号转义：

// 修复前
$config .= "\t'dbhost' => '{$dbhost}',\n";
// 修复后
$config .= "\t'dbhost' => '".addslashes($dbhost)."',\n";

补充操作：安装完成后强制删除 install 目录，或创建只读 install.lock：

rm -rf discuz/install/
# 或
touch discuz/install/install.lock && chmod 444 discuz/install/install.lock

（2）SQL 注入漏洞修复

在faq.php数组处理前增加类型校验：

foreach($gids as $row) {
    // 新增校验：仅允许整数类型
    if(is_numeric($row[0])) {
        $groupids[] = intval($row[0]);
    }
}

（3）任意文件读取漏洞修复

后台备份功能增加路径白名单校验：

// admin/tool/backup.php 新增校验逻辑
$allow_path = array(DISCUZ_ROOT.'./data/backup/');
if(!in_array(dirname($filename), $allow_path)) {
    showmessage('非法备份路径');
}

2. 第二层：配置级加固（提升攻击门槛）

（1）PHP 环境安全配置（php.ini）

# 禁用危险函数
disable_functions = exec,popen,system,passthru,shell_exec,eval
# 限制文件访问范围
open_basedir = /www/discuz/:/tmp/
# 关闭错误泄露
display_errors = Off
# 防止解析漏洞
cgi.fix_pathinfo = 0

（2）Web 服务器配置（Nginx）

# 禁止解析可写目录PHP
location ~* /(data|config|uc_client/data)/.*\.php$ {
    deny all;
}
# 关闭目录浏览
autoindex off;
# 配置XSS防御头
add_header X-XSS-Protection "1; mode=block";

（3）Discuz! 后台核心参数配置

配置项	安全值	配置路径	作用
attackevasive	4	全局→防灌水设置	防 CC 攻击
urlxssdefend	1	全局→安全设置	开启 URL XSS 防御
checkip	1	管理员→权限设置	验证管理员 IP
runquery	0	工具→数据库	禁用后台 SQL 执行
tpledit	0	界面→模板管理	禁用在线编辑模板

3. 第三层：运维级管控（建立长效防护）

1. 权限最小化：

• Web 进程以 www-data 运行，禁止 root 权限；

• 目录权限设置：可写目录（data/、config/）设为 755，文件设为 644；

2. 日志监控：

• 开启 Nginx 访问日志：CustomLog /var/log/nginx/discuz_access.log combined；

• 定期审计admin.php访问记录，识别异常 IP；

3. 版本与插件管理：

• 升级至 Discuz! X3.5 2025 年 7 月后版本（修复全部已知漏洞）；

• 删除未使用插件：Trade（支付）、Manyou（云平台）等；

4. 应急响应预案：

• 备份策略：每日自动备份数据库，存储至异地服务器；

• 漏洞响应：关注官方公告（https://www.discuz.vip），24 小时内修复高危漏洞。

四、Discuz! 渗透测试报告模板（可直接复用）

开源 CMS 渗透测试报告

报告编号：SEC-DISCUZ-20251025

测试对象：http://192.168.71.1/discuz

测试周期：2025-10-23 至 2025-10-25

测试人员：安全运维团队

风险评级：中高风险（存在 2 个高危漏洞）

1. 执行摘要

本次针对 Discuz! X3.4 站点的渗透测试，采用 “黑盒扫描 + 白盒审计” 结合方式，共发现 3 类安全漏洞：配置文件写入代码执行（高危）、SQL 注入（高危）、后台任意文件读取（中危）。漏洞可导致服务器被控制、管理员账号泄露，需在 72 小时内完成修复。

2. 漏洞详情

漏洞名称	风险等级	影响范围	复现步骤	修复建议
配置文件写入代码执行	高危	服务器完全控制	1. 访问 /install/index.php2. 抓包修改 dbhost 参数为恶意 Payload3. 连接 webshell	1. 代码层转义单引号2. 删除 install 目录
faq.php SQL 注入	高危	管理员账号泄露	1. 访问 faq.php?action=grouppermission&gids [0][0]=1’ UNION…2. 提取密码哈希	1. 增加参数类型校验2. 用 intval () 过滤输入
后台任意文件读取	中危	敏感文件泄露	1. 登录后台备份数据2. 篡改 filename 参数为…/…/etc/passwd	1. 增加路径白名单校验2. 禁用非必要备份功能

3. 加固验证结果

加固项	验证方法	结果
代码修复	重新发送漏洞 Payload	漏洞已无法复现
配置加固	检查 php.ini 与 Nginx 配置	符合安全规范
权限管控	执行 ps aux 与 ls -l	权限设置正确

4. 长期安全建议

1. 建立每月漏洞扫描机制，使用 AWVS 扫描 Discuz! 核心文件；

2. 开启管理员登录双因素认证，绑定企业微信验证码；

3. 每季度查阅官方安全公告，及时应用补丁更新。

报告落款：安全运维团队

日期：2025-10-25

五、自动化加固工具与资源包

关注公众号回复 “Discuz 加固”，领取以下实战资源：

1. 漏洞检测脚本：一键扫描 3 类高危漏洞的 Python 脚本（支持批量站点检测）；

2. 配置模板：php.ini、Nginx 安全配置文件（可直接替换）；

3. 加固 Checklist：含 20 项安全检查点的 Excel 表格（适配 X3.4/X3.5 版本）；

4. 应急响应手册：webshell 清理与服务器恢复步骤文档。

结语：Discuz! 安全的核心是 “开源不等于裸奔”

多数 Discuz! 站点被入侵，并非因为开源代码本身不安全，而是管理员忽视了 “安装后清理”“参数配置”“版本更新” 等基础操作。本文的 3 类漏洞均源于简单疏漏 —— 删除 install 目录可避免 80% 的代码执行漏洞，禁用后台 SQL 执行可阻断注入利用。

安全加固没有 “银弹”，但按 “代码修复→配置加固→运维管控” 的流程落地，可将站点被入侵风险降低 95% 以上。现在就从检查 install 目录是否删除、后台runquery是否禁用开始，你的 Discuz! 站点安全，就藏在这些细节里。

网络安全学习资料分享

为了帮助大家更好的学习网络安全，我把我从一线互联网大厂薅来的网络安全教程及资料分享给大家，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂，朋友们如果有需要这套网络安全教程+进阶学习资源包，可以扫码下方二维码限时免费领取（如遇扫码问题，可以在评论区留言领取哦）~