变量覆盖漏洞

变量覆盖指的是可以用我们自定义的参数值替换程序原有的变量值

经常引发变量覆盖漏洞的函数有：extract(),parse_str()和import_request_variables()函数

一、使用函数不当

1.extract()函数

该函数有三种情况会覆盖掉已有变量：

第一种情况是第二个参数为EXTR_OVERWRITE, 表示如果有冲突，则覆盖已有的变量。

第二种情况是只传入第一个参数，这时候默认为EXTR_OVERWRITE模式。

第三种情况是第二个参数为EXTR_IF_EXISTS, 表示仅在当前符号表中已有同名变量时覆盖它们的值。

payload:

<?php $b=1; $a=array('b'=>'1'); extract($a); print_r($b); ?>

2.parse_str()函数

parse_str()函数的作用是解析字符串并且注册成变量。parse_str()函数有两个参数，第一个参数是必须的，代表要解析注册成变量的字符串。第二个参数是一个数组，注册的变量会放到这个数组里。

payload:

<?php $b=1; parse_str('b=2'); print_r($b);?>

3.import_request_variables函数

import_request_variables()函数的作用是把GET,POST和COOKIE的参数注册成变量，用在register_globals被禁止的时候，不过这个函数在PHP5.4之后就被取消了。

import_request_variables函数有两个参数，第一个参数代表要注册的变量，GPC分别代表GET,POST,COOKIE；第二个参数为要注册的变量前缀

payload:

<?php $b=1; import_request_variables('GP'); print_r($b);?>

请求1.php?b=2

二、$$变量覆盖

payload:

<?php $a=1; 

foreach(array('_COOKIE','_POST','_GET') as $_request) {

    foreach($$_request as $_key=>$_value) {

          $$_key=addslashes($_value);}

} 

echo $a; ?>

请求：1.php?a=2

三、漏洞防范

1.使用原始变量数组

建议直接用原始的变量数组，如$_POST,$_GET等数组变量进行操作，避免使用变量注册

2.验证变量是否存在

注册变量前先判断变量是否存在，使用extract()函数则可以配置第二个参数为EXTR_SKIP,自行申明的变量一定要初始化。