PHP代码审计:变量覆盖

最新推荐文章于 2021-05-18 19:33:46 发布
最新推荐文章于 2021-05-18 19:33:46 发布
阅读量345 收藏 2
点赞数
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzZ/article/details/108491341
版权

0x00 前提

本文是给作为给小伙伴分享教学的一篇文章,给讲一下,所以写的比较简陋。。。见谅而且都比较基础,只是简单讲课提纲吧

0x01 变量覆盖审计

0x00 简介

变量覆盖,顾名思义就是可以覆盖已有变量值,导致变量覆盖的漏洞

常见的造成的代码审计的情景是代码中出现以下关键词:

  • register_globals=on
  • extract()函数
  • parse_str()函数
  • import_request_variables()函数
  • $$

0x01 变量覆盖演示

extract()

extract(array,extract_rules,prefix)函数

https://www.runoob.com/php/func-array-extract.html

该函数可以从数组中将变量导入到当前的符号表,即将数组中的键值对注册成函数,使用数组键名作为变量名,使用数组键值作为变量值。

这里我们要注意一下该函数的第二个参数

  • EXTR_OVERWRITE - 默认。如果有冲突,则覆盖已有的变量。
  • EXTR_SKIP - 如果有冲突,不覆盖已有的变量。

这就为我们提供了覆盖的可能。

<?php
$a = 'a';
echo $a.'</br>';
extract($_GET);
echo $a
?>

可以看到我们初始变量值为a但是覆盖之后就变成了我们输入的值。

http://127.0.0.1/test/extract.php?a=123

image-20200907141301903

修复:

在使用extract()函数时,可以指定将第二个参数设置为EXTRS_KIP

parse_str()

parse_str()函数用于把查询字符串解析到变量中,如果没有array参数,则由该函数设置的变量将覆盖已存在的同名变量。

在没有array参数的情况下使用此函数,

并且在PHP 7.2中将废弃不设置参数的行为,此函数没有返回值。

<?php
$a = "giao";
echo "a:" . $a;
echo "<br>";
$b = $_GET['b'];
parse_str($b);
echo "a_2:" . $a;
?>

http://127.0.0.1/test/parse_str.php?b=a=zeo

image-20200907145448737

$$

典型的例子就是foreach来遍历数组中的值作为变量。

$$是一种可变变量的写法,它可以使一个普通变量的值作为可变变量的名字,这种类型常常会使用遍历的方式来释放变量的代码

<?php
$a = 10;
echo $a;
echo "<br>";
foreach ($_POST as $k => $v){
    $$k = $v;
    echo $a;
}
?>

image-20200907141129332

import_request_variables()

import_request_variables ( string $types , string $prefix )

https://www.runoob.com/php/php-import_request_variables-function.html

import_request_variables() 函数将 GET/POST/Cookie 变量导入到全局作用域中。该函数在最新版本的 PHP 中已经不支持。

import_request_variables() 函数将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。

版本要求:PHP 4 >= 4.1.0, PHP 5 < 5.4.0

第二个参数$types:指定需要导入的变量,可以用字母 G、P 和 C 分别表示 GET、POST 和 Cookie,这些字母不区分大小写,所以你可以使用 g 、 p 和 c 的任何组合。POST 包含了通过 POST 方法上传的文件信息。注意这些字母的顺序,当使用 gp 时,POST 变量将使用相同的名字覆盖 GET 变量。任何 GPC 以外的字母都将被忽略。

image-20200907104858013

全局变量

当你在升级PHP到PHP5.4及之后的版本的时候,是否发现register_global配置指令不再生效了呢

因为从PHP5.4开始register_global配置指令被移除了。

<?php
echo "register_globals: " . (int)ini_get("register_globals");
echo '<br>';
echo "a=" . $a;
?>

image-20200907114032777

0x02 深x服edr实例

简化后的代码

<?php
#var_dump($_REQUEST);


$show_form = function($params) use(&$strip_slashes, &$show_input) {
    extract($params);

    $host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";
    $path  = isset($path)  ? $strip_slashes($path)  : "";
    $row   = isset($row)   ? $strip_slashes($row)   : "";
    $limit = isset($limit) ? $strip_slashes($limit) : 1000;

    // 绘制表单
    echo "<pre>";
    echo '<form id="studio" name="studio" method="post" action="">';
    $show_input(array("title" => "Host ",  "name" => "host",  "value" => $host,  "note" => " - host, e.g. 127.0.0.1"));
    $show_input(array("title" => "Path ",  "name" => "path",  "value" => $path,  "note" => " - path regex, e.g. mapreduce"));
    $show_input(array("title" => "Row  ",  "name" => "row",   "value" => $row,   "note" => " - row regex, e.g. \s[w|e]\s"));
    $show_input(array("title" => "Limit",  "name" => "limit", "value" => $limit, "note" => " - top n, e.g. 100"));
    echo '<input type="submit" id="button">';
    echo '</form>';
    echo "</pre>";
};

$show_form($_REQUEST);

?>

变量匿名函数 $show_form 具有一个形式参数 $params

在这里也就是array(“strip_slashes”=>“system”,“host”=>“id”);

接下来执行extract($params);,后进入如下代码:

$host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";

在这个过程中就产生了漏洞,想要了解具体原因:

首先函数传入参数值为array("strip_slashes"=>"system","host"=>"id");

经过extract()函数后,赋值了2个变量:

$strip_slashes = 'system';
$host = 'id';

变量$host利用三元运算重新赋值$strip_slashes($host)

而实际上其赋值内容是函数system('id')的返回结果,这也就造成了命令执行漏洞。

0x03MetInfo实例

/include/common.inc.php

传入的cookie、get、post参数进行变量赋值

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
	foreach($$_request as $_key => $_value) {
		$_key{0} != '_' && $$_key = daddslashes($_value);
	}
}

daddslashes()防注入,不过并不影响

随便来到一个子文件看看他的加载方式\about\index.php

<?php
# MetInfo Enterprise Content Management System 
# Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved. 
$filpy = basename(dirname(__FILE__));
$fmodule=1;
require_once '../include/module.php';
require_once $module;
# This program is an open source system, commercial use, please consciously to purchase commercial license.
# Copyright (C) MetInfo Co., Ltd. (http://www.metinfo.cn). All rights reserved.
?>

这里使用了require_once函数包含了/include/module.php文件,可以发现这个文件又包含了common.inc.php文件

出现了两个未知变量:$module$fmodule。我们可以用$fmodule变量通过两次文件包含,使用$_request来获取GET传递的新$fmodule值实现变量覆盖。

god_Zeo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审计|变量覆盖漏洞
世间繁华梦一出
01-11 265
变量覆盖漏洞漏洞简介$$导致的变量覆盖问题CTF中$$导致的变量覆盖问题的例题1: 漏洞简介 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结。 $$导致的变量覆盖问题 $$导致的变量覆盖问题在C
php代码审计【13】变量覆盖
司徒荆的博客
06-28 377
变量覆盖
php代码审计变量覆盖
aixuan9365的博客
03-09 199
变量覆盖一般由这四个函数引起 <?php $b=3; $a = array('b' => '1' ); extract($a,EXTR_OVERWRITE); print_r($b); //extract 有三种形式可能导致变量覆盖,第一种是第二个参数为EXTR_OVERWRITE,他表示如果有冲突,覆盖原有的变量。第二种情况是只传入第一个参数,默认为EXT...
PHP代码审计变量覆盖
秋水的博客
09-07 641
漏洞简介 什么是变量覆盖变量覆盖指的是用我们自定义的参数值替换程序原有的变量值, 通常来说,单独的变量覆盖漏洞很难有利用价值,需要和其他漏洞结合起来才能完成攻击 但在某些情况下,可可通过变量覆盖漏洞直接获取getshell 变量覆盖漏洞,很难通过黑盒测试发现,需要掌握白盒审计 漏洞原理 漏洞产生 经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,p...
代码审计中的变量覆盖
weixin_30846599的博客
03-31 148
0x00 背景 变量覆盖漏洞是用自定义的参数值替换原有变量值,通常会结合程序的其他功能完成攻击。本文以代码审计的形式研究变量覆盖漏洞的原理、挖掘形式、防御方案及缺陷。 0x01 变量覆盖漏洞的产生原理 变量覆盖漏洞的产生主要有两种原因:函数使用不当和$$使用不当。能由于不当使用引发变量覆盖的函数有:extract()、parse_str()、import_request_varia...
PHP代码审计教学视频
01-28
PHP代码审计入门教学视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖PHPSTROM使用等等)都有非常详细的介绍
【基础篇】第11篇:PHP代码审计笔记--变量覆盖漏洞1
08-03
PHP代码审计笔记--变量覆盖漏洞1】 在PHP编程中,变量覆盖漏洞是一个常见的安全问题,它涉及到程序中变量的不当处理,使得攻击者能够通过输入数据改变原本不应该被修改的变量值。本文将深入探讨几种导致变量覆盖...
php_scan:PHP代码审计
03-22
php_scan:PHP代码审计】 在Web应用程序开发中,PHP是一种广泛使用的脚本语言,它的安全性对于整个网站的稳定性至关重要。"php_scan"是一个专为PHP代码审计设计的工具,它旨在帮助开发者和安全专家检测潜在的...
PHP代码审计入门指南1
最新发布
08-04
在进行PHP代码审计时,尤其需要注意用户可控输入,如$_SERVER、$_GET、$_POST等超级全局变量,因为它们可能承载着来自用户的不可信数据。这些输入如果不加以验证和过滤,可能会导致各种安全问题,例如: - **命令...
代码审计 企业级Web代码安全架构
01-21
第4~6章则介绍常见漏洞的审计方法,分别对应基础篇、进阶篇以及深入篇,涵盖SQL注入漏洞、XSS漏洞、文件操作漏洞、代码/命令执行漏洞、变量覆盖漏洞以及逻辑处理等漏洞;第7章介绍二次漏洞的挖掘方法;第8章介绍...
代码审计中的一些变量覆盖
T-bag的博客
04-18 648
parese_str() extract()等函数导致的变量覆盖parse_str() 函数把查询字符串解析到变量中。 extract() 函数从数组中将变量导入到当前的符号表。 http://www.w3school.com.cn/php/func_array_extract.asp http://www.w3school.com.cn/php/func_string_parse_s
php变量覆盖函数,代码审计--变量覆盖
weixin_39831567的博客
03-19 464
1. 变量覆盖定义变量覆盖指的是可以用我们的传参值替换程序原有的变量值2.风险变量覆盖漏洞有的时候可以直接让我们获取Webshell,拿到服务器的权限3.寻找变量覆盖经常导致变量覆盖漏洞场景有:1.$$使用不当2.extract()函数使用不当,3.parse_str()函数使用不当4.import_request_variables()使用不当,开启了全局变量注册等3.1.经常引发变量覆盖漏...
PHP extract() 函数的用法
Bob Kelly 的博客
04-29 995
将键值 "Cat"、"Dog" 和 "Horse" 赋值给变量 $a、$b 和 $c: <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?>
代码审计变量覆盖漏洞总结
Fly_鹏程万里
12-17 490
1、$$变量覆盖: 很经典的一个例子 &lt;?php     $a=1;     foreach (array("_COOKIE","_POST","_GET") as $request) {         foreach ($$request as $key =&gt; $value) {             echo $key."&lt;/br&gt;";             
九、漏洞挖掘与代码审计(2)变量覆盖漏洞
weixin_45540609的博客
05-18 355
一、变量覆盖 用我们的传参值替换程序原有的变量值。 1、常见场景 (1)$$使用不当 (2)extract()函数使用不当 (3)parse_str()函数使用不当 (4)import_request_variables()使用不当 2、函数解析 (1)extract() 将数组中变量导入当前符号表中。把数组中键和值分开,键是变量名,值是变量值。 (2)parse_str() 将查询字符串解析到变量中 (3)$$ $a =1; $b =2; echo $$a; .
页面布局备忘
weixin_33965305的博客
12-11 112
一直在用flex做前端,都习惯面向对象的组件模式装配ui,最近想做一些基于网页的以信息展示为主的网站系统,我简称信息发布内核,内核两字表明我只是想做基本功能,不是做一个大而全的内容发布系统。首先得考虑的就是页面的布局模式。页面的布局模式与所选用的页面技术相关,初步计划选择thymeleaf,源于它的natural理念。thymeleaf的eclipse插件:https://github.com/t...
php extract 变量覆盖,跟着crownless学Web之strcmp、extract变量覆盖
weixin_42136365的博客
03-10 244
原标题:跟着crownless学Web之strcmp、extract变量覆盖 简介:本文由Web安全版块的新版主crownless原创讲解。下文将以CTF赛题讲解的形式为大家介绍一系列的Web基础知识,讲解的顺序将是循序渐进,因此不需要读者有任何基础知识。希望能吸引更多人关注看雪的Web安全版块,为版块增加人气和活力。本篇为『跟着crownless学Web系列』的第三和第四部分,建议没有了解前两部...
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决
塔夏时光的博客
04-02 2295
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件:/include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动S...
代码审计变量覆盖漏洞
qq_35420342的博客
03-25 892
    变量覆盖漏洞是指可以用我们自定义的参数值替换程序原有的变量值,从而产生漏洞。大多都是由于函数使用不当导致,经常导致变量覆盖漏洞的函数有:extract()函数、parse_str()函数、import_request_variables()函数,另外有些利用$$的方式注册变量没验证已有变量导致覆盖也是经常出现的。下面就对这四种情况做简要分析:    (1)extract()函数:    e...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值