CTF学习笔记:php(变量覆盖)

原创 已于 2022-12-06 22:03:34 修改 · 978 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习

于 2022-12-06 21:59:11 首次发布
本文介绍了CTF比赛中常见的PHP变量覆盖技术,包括$$、extract()、parse_str()和import_request_variables()的用法,并通过实战分析解释了如何利用这些技术来获取flag。在一道题目中,通过合理利用变量覆盖,可以防止flag被覆盖,并成功获取原始flag的值。

目录

理论部分:

$$:

extract():

parse_str():

import_request_variables():

 实战分析:

理论部分:

变量覆盖:将原来变量的值给覆盖掉

一般造成变量覆盖的写法有

  • $$
  • extract()
  • parse_str()
  • import_request_variables()

$$:

$表示一个变量的声明如$a='1'就是将1的值赋予1 也就是a的值是1 则$$可以理解为双重赋予如下面代码段 $$a可以表示为$($a)$a的值为1 $($a)值就为$1为2 所以$$a='2'

<?php
   $a='1';
   $1='2';
   echo $$a;
?>
<?php
    $a='1';
    $$a='2';
    echo $1;
?>

extract():

extract() 函数从数组array中将变量导入到当前的符号表。我们将1赋值于$a再创建数组将键值 "Apple"、"Banana" 和 "Cheey" 赋值给变量 $a、$b 和 $c此时运行结果为$a = Apple; $b = Banana; $c = Cherry

语法:extract(array,extract_rules,prefix)

<?php
$a = "1";
$shuzu = array("a" => "Apple","b" => "Banana", "c" => "Cherry");
extract($shuzu);
echo "\$a = $a; \$b = $b; \$c = $c";
?>

parse_str():

parse_str() 函数把查询字符串解析到变量中。我们把1和2分别解析至a和b中,此时输出变量a和变量b的结果就会是ab也就是12

语法: parse_str(string,array)                                                            

<?php
parse_str("a=1&b=2");
echo $a;
echo $b;
?>

import_request_variables():

import_request_variables()函数可以有选择地注册全局变量集合。你可以使用该函数导入 $_GET、$_POST和$_COOKIE的值,还可以为每个导入的变量添加前缀(prefix)。

//导入POST提交的变量值,前缀为post_

import_request_variable("p", "post_"); 
//导入GET和POST提交的变量值,前缀为gp_,GET优先于POST
import_request_variable("gp", "gp_");  
//导入Cookie和GET的变量值,Cookie变量值优先于GET
import_request_variable("cg", "cg_");

 实战分析:

题目分析:第7行检测表单是否存在post传参,如果不是会将flag值覆盖掉,11-14行间的代码会将$flag的值给覆盖掉,所以只能利用第一个循环(foreach)先将 flag 赋给_200,然后利用输出(die)($_200)将原flag值打印出来。使用get传参将flag赋值于_200构造_200=flag,在使用post传参flag=得到flag

FLAG:flag(hunan_hetian)

<?php
   include “flag.php”;

   $_403 = “Access Denied”;

   $_200 = “Welcome Admin”;

   if ($_SERVER["REQUEST_METHOD"] != “POST”)
   {
         die(“BugsBunnyCTF is here :p…”);
   }
   if ( !isset($_POST["flag"]) )
   {
         die($_403);
   }
   foreach ($_GET as $key => $value)
   {
         $$key = $$value;
   }
   foreach ($_POST as $key => $value)
   {
         $$key = $value;
   }
   if ( $_POST["flag"] !== $flag )
   {
         die($_403);
   }
   echo “This is your flag : “. $flag . “\n”;
   die($_200);
?>

题目来源:PHP变量覆盖例题

upin
关注
CTF——PHP审计——变量覆盖
小锤队长的博客
08-25 4668
一,变量覆盖漏洞 参考:https://www.cnblogs.com/xiaozi/p/7768580.html 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有: 1,$$使用不当, 2,extract()函数使用不当, 3,parse_str()函数使用不当, 4,import_request_variables()使用不当, 5,开启...
代码审计--变量覆盖漏洞
Hydra的博客
10-30 1763
可能会导致变量覆盖漏洞的函数有parse_str(),extract(),import_request_variables()以及$$。 1.parse_str()导致的漏洞 &lt;!-- parse_str($a = $_GET['flag']); if ($bdctf == "BCDEF") { echo $flag; } --&gt; 源码分析:a获得一个get值$fl...
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4800
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
CTF_Web:php中的变量覆盖问题
AFCC_的博客(Web_Dog)
08-10 1757
0x00 前言 最近一直在整理有哪些方面的基础考点,一共可能列了10项吧,自己也在不断学习, 先把能想到的考点学完,带着这些常见问题再去重新学一次php的基础函数,然后再继续练习3分以上的题目,基础打牢,不管遇到什么都可以有自己的分析方式,而不是只能抄wp┭┮﹏┭┮。 0x01 什么是变量覆盖 变量覆盖基本都来自于各种函数(parse_str()、extract()、import_request_variables()等)对用户输入取值时的问题,当用户对已经存在的变量再次通过各种函数赋值时,将会触发变量覆盖
php 变量覆盖 ctf,CTF-代码审计(1)——parse_str()变量覆盖
weixin_34801390的博客
03-27 968
题目连接:http://222.18.158.226:7000/iscc.php考点:parse_str()变量覆盖代码:PHP知识点:1.parse_url()参照网址:https://www.php.net/manual/zh/function.parse-url.php2.$_SERVER[]参考网址:https://php.net/manual/zh/reserved.variables....
CTF-PHP代码审计学习笔记分享
m0_62945162的博客
06-12 1933
CTF学习笔记分享-PHP代码审计。自己总结,若有错误,请联系改正,谢谢!
【笔记】结合CTF理解Web安全
诗酒趁年华
05-31 1329
这三者关系是互补的,当SDL出现差错时,可以通过周期性的扫描,安全评估等工作将问题及时解决,而入侵检测(suricata),WAF(ModSecurity)等系统,则可以在安全事件发生后的第一时间进行响应,并有助于时候定损,如果三者只剩其一,都可能使得公司的安全体系出现短板,给攻击者带来可乘之机。
CTF-PHP特性知识点总结
zji
07-16 1065
系列文章目录 提示:来自CTFshow题目 文章目录系列文章目录来自ctfshow的所有题目总结一、intval()函数二、多行匹配3.== 弱类型与路径问题4.md5()5.三目运算符的理解+变量覆盖6. in_array()函数7.is_numeric()函数优先级 前置需要学习参考 php中=与区别 来自ctfshow的所有题目总结 一、intval()函数 例子1 例子1 if(preg_match("/[0-9]/", $num)){ die("no no no!");
[ctf零基础入门]php基础
小飒的博客
08-28 1347
本文难度简单,适合0基础 工具:hackbar或burp ,PHPstudy Php基本语法: https://www.w3school.com.cn/php/php_syntax.asp 先快速自学 弱类型 如果一个字符串为 “合法数字+e+合法数字”类型,将会解释为科学计数法的浮点数 如果一个字符串为 “合法数字+ 不可解释为合法数字的字符串”类型,将会被转换为该合法数字的值,后面的字符串将会被丢弃 如果一个字符串为“不可解释为合法数字的字符串+任意”类型,则被转换为0! 1 <?php 2 va
ctf变量覆盖
qq_37301470的博客
11-19 724
变量覆盖 $$使用不当 <?php $a='abc'; $abd='dfsfdsf'; echo "$$a"; extract()使用不当 <?php $a='abc'; $my_array=array("a"=>"cat","b"=>"dog"); extract($my_array,EXTR_prifix_same,'pr'); echo "$a"; 如果extract只有第一个参数则会进行变量替换,后两个参数是添加前缀 parse_str使用不当 <
CG CTF 变量覆盖
qq_46389295的博客
02-23 391
题目链接 打开源码 <?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?> <?php extract($_POST); if ($pass == $thepassword_123) { ...
PHP extract() 函数的用法
Bob Kelly 的博客
04-29 1094
将键值 "Cat"、"Dog" 和 "Horse" 赋值给变量 $a、$b 和 $c: <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?>
CG CTF WEB 变量覆盖
无限迭代中......
07-04 741
http://chinalover.sinaapp.com/web24/ <!--foreach($_GET as $key => $value){ $$key = $value; } if($name == "meizijiu233"){ echo $flag; }--> 题解: URL=http://chinalover.sina...
ctf变量覆盖漏洞
weixin_30696427的博客
08-06 360
1.变量覆盖: ①:针对extract函数的变量覆盖漏洞: 1 <?php 2 @error_reporting(E_ALL^E_NOTICE); 3 require('config.php'); 4 5 if($_GET['show_source'] === '1') { 6 highlight_file(__FILE__); 7 exi...
ctfphp常见内容(比较、变量覆盖
最新发布
2302_78903258的博客
07-15 1298
这一大长串的编码,他们的md5值是相等的,原理是将hex字符串转化为ascii字符串,并写入到bin文件,考虑到要将一些不可见字符传到服务器,这里使用url编码。像这样的强比较,上面的方法就失效了,但是如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面。到强碰撞这里,它用string强行转换成字符串,从而限制了数组绕过这方法,只能输入字符串,下面我从网上列出MD5碰撞的字符串。=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。
CTF-extract变量覆盖
m0_62670778的博客
03-21 748
进入靶场后看到的是一张图片查看网页源代码,发现一个source.txt的注释信息,可能路径上有这个文件,尝试访问一下访问后出现一个新的页面该页面有一些php的代码信息,尝试进行解释bugsecret。
CG-CTF-Web-变量覆盖
1stPeak's Blog
07-01 2358
变量覆盖 1.题目 2.查看题目内容,输入任何数据都无显示,但我们看到了页面下方有source.php,于是点击查看,精简代码如下: <?php include("secret.php"); ?> <?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?> ...
CG CTF 变量覆盖2
qq_46389295的博客
02-24 323
题目链接 <!--foreach($_GET as $key => $value){ $$key = $value; } if($name == "meizijiu233"){ echo $flag; }--> 变量覆盖漏洞 关键第3行,KaTeX parse error: Expected '}', got 'EOF' at end of ...
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
本笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值