Duomicms变量覆盖漏洞
由于是第一次搞这个 ,不是很懂。。
所以 思路是参考这位博主的 https://www.cnblogs.com/Qiuzhiyu/p/11923471.html
首先去了解一下 变量覆盖漏洞的原理:
变量覆盖漏洞是指可以用我们自定义的参数值替换程序原有的变量值,从而产生漏洞。大多都是由于函数使用不当导致,经常导致变量覆盖漏洞的函数有:extract()函数、parse_str()函数、import_request_variables()函数等
跟着博主搞了一遍
这里的是变量覆盖漏洞是duomiphp\common.php文件的$$变量覆盖漏洞
去看这个变量覆盖要满足的条件:
传参不为空,然后正则表达式的内容是不能有cfg_和GLOBALES,不能有cookie的值传参
利用session变量的赋值方法来把某些特定的信息存储
赋值方法:
在另一个文件admin.manger.php 中可以发现如果是管理员那么他的groupid 应该为1
先登陆普通用户获取session 然后获取管理员session,对比后构造session,将管理员session的值绑给普通用户。
那么就要在有漏洞的comment.php利用变量覆盖构造:comment.php?_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_id]=1&_SESSION[duomi_admin_name]=admin
然后访问管理员后台,就会自动登录