关于METINF5.3漏洞引发的变量覆盖漏洞

一.$$引起的变量覆盖漏洞，

1、Include 调用了flag.php文件(调用文件还可以有require_once()或者require());
2、${}_{2}00,$_403 定义两个参数，以及参数值。
3、判断访问页面的方法是否为post方法和有没有参数flag。
4、再接着两个foreach函数遍历数组函数，然后再将获取到的数组键名作为变量，数组中的键值作为变量的值。
5、还有一个if判断语句，判断用post方法传输的数据是不是和$flag的值相同，如果相同，输出flag。6、最后输出$_200的内容。
我们可以看到第一个foreach遍历中，

foreach ($_GET as $key => $value)
$$key = $$value

这里出现了 $$key = $$value，传入的键值$会当做变量，例如，我们传{入}_{2}00=flag,经过处理后变成$_200=$flag,则$_200的值被覆盖为$flag的值。
第二个foreach遍历,

foreach ($_POST as $key => $value)
    $$key = $value;

出现了$$key = $value;如post方法传入flag=abc，则处理后变成$flag=abc。这样就造成将我们需要获取的flag的值给覆盖掉了。

所以如果在CTF中获得flag,我们需要先将$flag的值覆盖$_200或${}_{4}03的值，然后输出$_200或$_403。
二，Extract（）函数引起的变量覆盖漏洞
该函数使用键名当做变量名，键值当做变量值，如果有相同的变量名，则默认覆盖原有的变量值。

1、文件将get方法传输进来的值通过extrace()函数处理。
2、通过两个if语句分别判断是否存在gift变量，和变量gift的值和变量content的值是否相等。变量content的值是通过读取变量test的值获取到的。如果两个变量相等输出flag。如果不相等，输出错误。

$GET[‘test’]=’a’,处理后$test=a,覆盖了原来的空，即$test="",此时只需$gift=a,可以实现$gift=$content;成功拿到flag。

三,Parse_str()函数引起的变量覆盖漏洞

parse_str() 函数用于把查询字符串解析到变量中，如果没有array 参数，则由该函数设置的变量将覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数，并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值

<?php

       error_reporting(0);

       if (empty($_GET['id'])) 
      {
            show_source(__FILE__);
            die();
      } 
      else 
     {
            include (‘flag.php’);
            $a = “www.OPENCTF.com 
            $id = $_GET['id'];
            @parse_str($id);
            if ($a[0] != ‘QNKCDZO’ && md5($a[0]) == md5(‘QNKCDZO’)) 
           {
                 echo $flag;
           } 
           else 
           {
                 exit(‘其实很简单其实并不难！’);
           }

       }

?>

1.@parse_str($id)把查询字符串解析到变量中，没有使用array选项，若有同名变量，将原来的覆盖。我们可以用?id=a[0]将原来的$a的值给覆盖掉。

2.$a[0] != ‘QNKCDZO‘ && md5($a[0]) == md5(‘QNKCDZO‘)判断$a[0]的值不是QNKCDZO并且$a[0]的MD5值要和QNKCDZO的MD5值相同。

因为主要介绍变量覆盖，所以接下来的解题方法就不说了。核心思路就是用?id=a[0]=********覆盖$a的值满足后续要求。

学习自：https://www.cnblogs.com/bmjoker/p/9025351.html