**0x01原理分析**还是很久以前爆发的漏洞。现在拿出来研究一下。参考阿里巴巴:https://security.alibaba.com/...漏洞发生在/inc/common.inc.php页面。先看这个函数:先用ini_get获取php.ini中变量'register_globals'的值,register_globals表示提交的请求是否注册为全局变量,取值有OFF和ON。一般默认配置为OFF,那么会执行extract()函数。extract()函数用于提交的$_FILE变量。如果已经赋值,则跳过,不执行赋值操作。如果它还没有赋值,它将执行初始化操作。同时,奇博cms不过滤$_FILE。所以,我们只需要找到一个未初始化的变量,以$_FILE的形式提交,它就会自动给你赋值,不需要过滤。如果它参与了sql注入语句,就可能形成注入。0x02漏洞利用这里我们仍然以/member/comment.php文件中的变量$cidDB为例。这里的cidDB变量还没有被初始化,已经参与了sql语句,所以只需要以$_FILE的形式提交cidDB变量,覆盖掉就完成了注入。流程如下:首先构建上传表单页面,源码如下:
