「配枪朱丽叶。」

RootのCTF学习笔记。

Discuz 7.x/6.x 全局变量防御绕过导致代码执行

漏洞复现

漏洞描述:

由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致$_REQUEST中不再包含$_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。

www.secpulse.com

首先新建一个平平无奇的Discuz论坛:
https://s2.ax1x.com/2020/02/16/3pUyxx.png
安装成功后,直接找一个已存在的帖子,向其发送数据包,并在Cookie中增加:

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

https://s2.ax1x.com/2020/02/16/3pvZAx.png