变量覆盖指的是可以用我们自定义的参数值替换程序原有的变量值
经常引发变量覆盖漏洞的函数有:extract(),parse_str()和import_request_variables()函数
一、使用函数不当
1.extract()函数
该函数有三种情况会覆盖掉已有变量:
第一种情况是第二个参数为EXTR_OVERWRITE, 表示如果有冲突,则覆盖已有的变量。
第二种情况是只传入第一个参数,这时候默认为EXTR_OVERWRITE模式。
第三种情况是第二个参数为EXTR_IF_EXISTS, 表示仅在当前符号表中已有同名变量时覆盖它们的值。
payload:
<?php $b=1; $a=array('b'=>'1'); extract($a); print_r($b); ?>
2.parse_str()函数
parse_str()函数的作用是解析字符串并且注册成变量。parse_str()函数有两个参数,第一个参数是必须的,代表要解析注册成变量的字符串。第二个参数是一个数组,注册的变量会放到这个数组里。
payload:
<?php $b=1; parse_str('b=2'); print_r($b);?>
3.import_request_variables函数
import_request_variables()函数的作用是把GET,POST和COOKIE的参数注册成变量,用在register_globals被禁止的时候,不过这个函数在PHP5.4之后就被取消了。
import_request_variables函数有两个参数,第一个参数代表要注册的变量,GPC分别代表GET,POST,COOKIE;第二个参数为要注册的变量前缀
payload:
<?php $b=1; import_request_variables('GP'); print_r($b);?>
请求1.php?b=2
二、$$变量覆盖
payload:
<?php $a=1;
foreach(array('_COOKIE','_POST','_GET') as $_request) {
foreach($$_request as $_key=>$_value) {
$$_key=addslashes($_value);}
}
echo $a; ?>
请求:1.php?a=2
三、漏洞防范
1.使用原始变量数组
建议直接用原始的变量数组,如$_POST,$_GET等数组变量进行操作,避免使用变量注册
2.验证变量是否存在
注册变量前先判断变量是否存在,使用extract()函数则可以配置第二个参数为EXTR_SKIP,自行申明的变量一定要初始化。