PHP代码审计:变量覆盖

最新推荐文章于 2022-08-12 16:18:03 发布
最新推荐文章于 2022-08-12 16:18:03 发布
阅读量342 收藏 2
点赞数
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzZ/article/details/108491341
版权

0x00 前提

本文是给作为给小伙伴分享教学的一篇文章,给讲一下,所以写的比较简陋。。。见谅而且都比较基础,只是简单讲课提纲吧

0x01 变量覆盖审计

0x00 简介

变量覆盖,顾名思义就是可以覆盖已有变量值,导致变量覆盖的漏洞

常见的造成的代码审计的情景是代码中出现以下关键词:

  • register_globals=on
  • extract()函数
  • parse_str()函数
  • import_request_variables()函数
  • $$

0x01 变量覆盖演示

extract()

extract(array,extract_rules,prefix)函数

https://www.runoob.com/php/func-array-extract.html

该函数可以从数组中将变量导入到当前的符号表,即将数组中的键值对注册成函数,使用数组键名作为变量名,使用数组键值作为变量值。

这里我们要注意一下该函数的第二个参数

  • EXTR_OVERWRITE - 默认。如果有冲突,则覆盖已有的变量。
  • EXTR_SKIP - 如果有冲突,不覆盖已有的变量。

这就为我们提供了覆盖的可能。

<?php
$a = 'a';
echo $a.'</br>';
extract($_GET);
echo $a
?>

可以看到我们初始变量值为a但是覆盖之后就变成了我们输入的值。

http://127.0.0.1/test/extract.php?a=123

image-20200907141301903

修复:

在使用extract()函数时,可以指定将第二个参数设置为EXTRS_KIP

parse_str()

parse_str()函数用于把查询字符串解析到变量中,如果没有array参数,则由该函数设置的变量将覆盖已存在的同名变量。

在没有array参数的情况下使用此函数,

并且在PHP 7.2中将废弃不设置参数的行为,此函数没有返回值。

<?php
$a = "giao";
echo "a:" . $a;
echo "<br>";
$b = $_GET['b'];
parse_str($b);
echo "a_2:" . $a;
?>

http://127.0.0.1/test/parse_str.php?b=a=zeo

image-20200907145448737

$$

典型的例子就是foreach来遍历数组中的值作为变量。

$$是一种可变变量的写法,它可以使一个普通变量的值作为可变变量的名字,这种类型常常会使用遍历的方式来释放变量的代码

<?php
$a = 10;
echo $a;
echo "<br>";
foreach ($_POST as $k => $v){
    $$k = $v;
    echo $a;
}
?>

image-20200907141129332

import_request_variables()

import_request_variables ( string $types , string $prefix )

https://www.runoob.com/php/php-import_request_variables-function.html

import_request_variables() 函数将 GET/POST/Cookie 变量导入到全局作用域中。该函数在最新版本的 PHP 中已经不支持。

import_request_variables() 函数将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。

版本要求:PHP 4 >= 4.1.0, PHP 5 < 5.4.0

第二个参数$types:指定需要导入的变量,可以用字母 G、P 和 C 分别表示 GET、POST 和 Cookie,这些字母不区分大小写,所以你可以使用 g 、 p 和 c 的任何组合。POST 包含了通过 POST 方法上传的文件信息。注意这些字母的顺序,当使用 gp 时,POST 变量将使用相同的名字覆盖 GET 变量。任何 GPC 以外的字母都将被忽略。

image-20200907104858013

全局变量

当你在升级PHP到PHP5.4及之后的版本的时候,是否发现register_global配置指令不再生效了呢

因为从PHP5.4开始register_global配置指令被移除了。

<?php
echo "register_globals: " . (int)ini_get("register_globals");
echo '<br>';
echo "a=" . $a;
?>

image-20200907114032777

0x02 深x服edr实例

简化后的代码

<?php
#var_dump($_REQUEST);


$show_form = function($params) use(&$strip_slashes, &$show_input) {
    extract($params);

    $host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";
    $path  = isset($path)  ? $strip_slashes($path)  : "";
    $row   = isset($row)   ? $strip_slashes($row)   : "";
    $limit = isset($limit) ? $strip_slashes($limit) : 1000;

    // 绘制表单
    echo "<pre>";
    echo '<form id="studio" name="studio" method="post" action="">';
    $show_input(array("title" => "Host ",  "name" => "host",  "value" => $host,  "note" => " - host, e.g. 127.0.0.1"));
    $show_input(array("title" => "Path ",  "name" => "path",  "value" => $path,  "note" => " - path regex, e.g. mapreduce"));
    $show_input(array("title" => "Row  ",  "name" => "row",   "value" => $row,   "note" => " - row regex, e.g. \s[w|e]\s"));
    $show_input(array("title" => "Limit",  "name" => "limit", "value" => $limit, "note" => " - top n, e.g. 100"));
    echo '<input type="submit" id="button">';
    echo '</form>';
    echo "</pre>";
};

$show_form($_REQUEST);

?>

变量匿名函数 $show_form 具有一个形式参数 $params

在这里也就是array(“strip_slashes”=>“system”,“host”=>“id”);

接下来执行extract($params);,后进入如下代码:

$host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";

在这个过程中就产生了漏洞,想要了解具体原因:

首先函数传入参数值为array("strip_slashes"=>"system","host"=>"id");

经过extract()函数后,赋值了2个变量:

$strip_slashes = 'system';
$host = 'id';

变量$host利用三元运算重新赋值$strip_slashes($host)

而实际上其赋值内容是函数system('id')的返回结果,这也就造成了命令执行漏洞。

0x03MetInfo实例

/include/common.inc.php

传入的cookie、get、post参数进行变量赋值

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
	foreach($$_request as $_key => $_value) {
		$_key{0} != '_' && $$_key = daddslashes($_value);
	}
}

daddslashes()防注入,不过并不影响

随便来到一个子文件看看他的加载方式\about\index.php

<?php
# MetInfo Enterprise Content Management System 
# Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved. 
$filpy = basename(dirname(__FILE__));
$fmodule=1;
require_once '../include/module.php';
require_once $module;
# This program is an open source system, commercial use, please consciously to purchase commercial license.
# Copyright (C) MetInfo Co., Ltd. (http://www.metinfo.cn). All rights reserved.
?>

这里使用了require_once函数包含了/include/module.php文件,可以发现这个文件又包含了common.inc.php文件

出现了两个未知变量:$module$fmodule。我们可以用$fmodule变量通过两次文件包含,使用$_request来获取GET传递的新$fmodule值实现变量覆盖。

god_Zeo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP代码审计基础:变量覆盖漏洞
1匹黑马
12-06 465
文章目录变量覆盖危害挖掘思路$$变量覆盖extract()变量覆盖 变量覆盖 变量覆盖,是指变量未初始化,我们定义的参数值,可以替换程序原有的变量值。 危害 通常结合程序其他的漏洞实现完整的攻击。比如文件上传,覆盖掉原来白名单的列表,导致任意文件上传;用户注册界面控制没有覆盖变量,导致SQL注入 挖掘思路 主要还是以下几个函数 extract() import_request_variables() parse_str() $$ $$变量覆盖 测试代码: <?php /*extract(
PHP代码审计基础:代码执行漏洞
1匹黑马
11-26 272
文章目录代码执行漏洞挖掘思路常见危险函数eval()和assert()回调函数动态执行函数preg_replace()代码执行第一个参数第二个参数第三个参数修复方案 代码执行漏洞 PHP代码执行漏洞可以将代码注入到应用中,最终到webserver去执行。该漏洞主要存在于eval()、assert()、preg_replace()、call_user_func()、array_map()以及动态函数中。 挖掘思路 用户能够控制函数的输入 存在可执行代码的危险函数 常见危险函数 eval()和asser
php变量覆盖函数,代码审计--变量覆盖
weixin_39831567的博客
03-19 460
1. 变量覆盖定义变量覆盖指的是可以用我们的传参值替换程序原有的变量值2.风险变量覆盖漏洞有的时候可以直接让我们获取Webshell,拿到服务器的权限3.寻找变量覆盖经常导致变量覆盖漏洞场景有:1.$$使用不当2.extract()函数使用不当,3.parse_str()函数使用不当4.import_request_variables()使用不当,开启了全局变量注册等3.1.经常引发变量覆盖漏...
PHP extract() 函数的用法
Bob Kelly 的博客
04-29 993
将键值 "Cat"、"Dog" 和 "Horse" 赋值给变量 $a、$b 和 $c: <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?>
代码审计-变量覆盖和反序列化漏洞
weixin_44770698的博客
07-08 694
代码审计-变量覆盖与反序列
PHP代码审计变量覆盖
秋水的博客
09-07 638
漏洞简介 什么是变量覆盖变量覆盖指的是用我们自定义的参数值替换程序原有的变量值, 通常来说,单独的变量覆盖漏洞很难有利用价值,需要和其他漏洞结合起来才能完成攻击 但在某些情况下,可可通过变量覆盖漏洞直接获取getshell 变量覆盖漏洞,很难通过黑盒测试发现,需要掌握白盒审计 漏洞原理 漏洞产生 经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,p...
PHP代码审计教学视频
01-28
PHP代码审计入门教学视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖PHPSTROM使用等等)都有非常详细的介绍
【基础篇】第11篇:PHP代码审计笔记--变量覆盖漏洞1
08-03
源自:http://php.net/manual/zh/security.globals.php0×02 $导致的变量覆盖问题使用foreach来遍历数组中的值
php_scan:PHP代码审计
03-22
php_scan:PHP代码审计】 在Web应用程序开发中,PHP是一种广泛使用的脚本语言,它的安全性对于整个网站的稳定性至关重要。"php_scan"是一个专为PHP代码审计设计的工具,它旨在帮助开发者和安全专家检测潜在的...
PHP代码审计入门指南1
08-04
在进行PHP代码审计时,尤其需要注意用户可控输入,如$_SERVER、$_GET、$_POST等超级全局变量,因为它们可能承载着来自用户的不可信数据。这些输入如果不加以验证和过滤,可能会导致各种安全问题,例如: - **命令...
BUUCTF-Web-Mark loves cat变量函数覆盖
最新发布
02-16
php代码审计变量覆盖漏洞 变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_...
PHP代码审计14—变量覆盖
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-12 1824
PHP 变量覆盖漏洞基础学习与CTF例题分析
页面布局备忘
weixin_33965305的博客
12-11 110
一直在用flex做前端,都习惯面向对象的组件模式装配ui,最近想做一些基于网页的以信息展示为主的网站系统,我简称信息发布内核,内核两字表明我只是想做基本功能,不是做一个大而全的内容发布系统。首先得考虑的就是页面的布局模式。页面的布局模式与所选用的页面技术相关,初步计划选择thymeleaf,源于它的natural理念。thymeleaf的eclipse插件:https://github.com/t...
代码审计变量覆盖漏洞总结
Fly_鹏程万里
12-17 487
1、$$变量覆盖: 很经典的一个例子 &lt;?php     $a=1;     foreach (array("_COOKIE","_POST","_GET") as $request) {         foreach ($$request as $key =&gt; $value) {             echo $key."&lt;/br&gt;";             
Bugku-代码审计-extract变量覆盖
多崎巡礼的博客
08-23 1789
代码审计|变量覆盖漏洞 0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究。  通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开...
代码审计变量覆盖漏洞
qq_35420342的博客
03-25 889
    变量覆盖漏洞是指可以用我们自定义的参数值替换程序原有的变量值,从而产生漏洞。大多都是由于函数使用不当导致,经常导致变量覆盖漏洞的函数有:extract()函数、parse_str()函数、import_request_variables()函数,另外有些利用$$的方式注册变量没验证已有变量导致覆盖也是经常出现的。下面就对这四种情况做简要分析:    (1)extract()函数:    e...
php代码审计【13】变量覆盖
司徒荆的博客
06-28 377
变量覆盖
Spring Rce 漏洞分析CVE-2022-22965
热门推荐
god_Zeo的安全博客
04-07 1万+
0x01 漏洞介绍 Spring Framework 是一个开源的轻量级J2EE应用程序开发框架。 3月31日,VMware发布安全公告,修复了Spring Framework中的远程代码执行漏洞(CVE-2022-22965)。在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。 0x02 影响范围 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEAS
WEB代码审计和渗透测试讲义.ppt
12-18
在进行WEB应用程序代码审计时,必须深入了解程序的结构和逻辑,从变量和函数两大根本着手进行分析。关键在于发现可以控制的变量和危险函数,并通过这些漏洞来实施攻击。在PHP应用程序代码审计中,由于PHP具有跨平台...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值