代码审计--变量覆盖漏洞

最新推荐文章于 2023-08-02 13:37:57 发布
最新推荐文章于 2023-08-02 13:37:57 发布
阅读量350 收藏 2
点赞数
分类专栏: 变量覆盖
原文链接:https://blog.csdn.net/qq_40657585/article/details/83545051
版权 
可能会导致变量覆盖漏洞的函数有parse_str(),extract(),import_request_variables()以及$$。

1.parse_str()导致的漏洞


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     <!--
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     parse_str($a = $_GET['flag']);
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if ($bdctf == "BCDEF") {
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
          echo $flag;
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     }
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     -->

源码分析:a获得一个get值$flag ,如果$bdctf == "BCDEF"输出flag。

思路:由代码知,如果想要得到flag必须先输入一个flag。看到 parse_str()想到变量覆盖,构造payloa ?flag=&bdctf=BDCTF 得到flag

parse_str()定义和用法

parse_str() 函数把查询字符串解析到变量中。

注释:如果未设置 array 参数,则由该函数设置的变量将覆盖已存在的同名变量。

注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。

语法

parse_str(string,array)
参数描述
string必需。规定要解析的字符串。
array可选。规定存储变量的数组的名称。该参数指示变量将被存储到数组中。

 2.extract()漏洞


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     <?php
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     $flag=
     
     'xxx';
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     extract($_GET);
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if(
     
     isset($shiyan))
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     {
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     $content=trim(file_get_contents($flag));
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     if($shiyan==$content)
    
    
    
   
   
  8. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     {
    
    
    
   
   
  9. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     echo
     
     'flag{xxx}';
    
    
    
   
   
  10. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     }
    
    
    
   
   
  11. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     else
    
    
    
   
   
  12. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     {
    
    
    
   
   
  13. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     echo
     
     'Oh.no';
    
    
    
   
   
  14. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     }
    
    
    
   
   
  15. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     }
    
    
    
   
   
  16. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
     ?>

源码分析: extract()  获得一个get值是shiyan。content从flag里获得一个去空的flag字符串。如果相等,输出flag。

思路:: 看到extract(),想到变量覆盖,构造payload ?shiyan=&flag= 得到flag

extract()定义和用法

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

第二个参数 type 用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数如何对待这样的冲突。

该函数返回成功导入到符号表中的变量数目。

语法

extract(array,extract_rules,prefix)
参数描述
array必需。规定要使用的数组。
extract_rules

可选。extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中已存在的变量名是否冲突。对不合法和冲突的键名的处理将根据此参数决定。

prefix

可选。请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。

		<p>前缀和数组键名之间会自动加上一个下划线。</p>
		</td>
	</tr></tbody></table></div><h2><a name="t6"></a>3.$$漏洞</h2>


 
 
  1. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
    
     
         1.
     
     <?php
    
    
    
   
   
  2. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  3. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     2.
     
     include “flag.php”;
    
    
    
   
   
  4. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  5. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     3.$_403 = “Access Denied”;
    
    
    
   
   
  6. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  7. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     4.$_200 = “Welcome Admin”;
    
    
    
   
   
  8. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  9. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     5.
     
     if ($_SERVER[
     
     "REQUEST_METHOD"] != “POST”)
    
    
    
   
   
  10. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  11. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     6.    
     
     die(“BugsBunnyCTF is here :p…”);
    
    
    
   
   
  12. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  13. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     7.
     
     if ( !
     
     isset($_POST[
     
     "flag"]) )
    
    
    
   
   
  14. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  15. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     8.    
     
     die($_403);
    
    
    
   
   
  16. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  17. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     9.
     
     foreach ($_GET 
     
     as $key => $value)
    
    
    
   
   
  18. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  19. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     10.    $$key = $$value;
    
    
    
   
   
  20. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  21. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     11.
     
     foreach ($_POST 
     
     as $key => $value)
    
    
    
   
   
  22. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  23. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     12.    $$key = $value;
    
    
    
   
   
  24. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  25. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     13.
     
     if ( $_POST[
     
     "flag"] !== $flag )
    
    
    
   
   
  26. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  27. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     14.    
     
     die($_403);
    
    
    
   
   
  28. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  29. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     15.
     
     echo “This is your flag : “. $flag . “\n”;
    
    
    
   
   
  30. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  31. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     16.
     
     die($_200);
    
    
    
   
   
  32. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
     
    
    
    
   
   
  33. 
   
   
    
    
    
    
   
   
    
   
   
    
    
    
        
     
     17.
     
     ?>

源码分析:

1、 Include 调用了flag.php文件
2、$_200,$403 定义两个参数,以及参数值。
3、接着是两个判断语句,判断访问页面的方法是否为post方法和有没有参数flag。
4、再接着两个foreach函数遍历数组函数,这里就是把我们用get方法传输的数据当做数组进行遍历,并将遍历的参数赋值给key,将参数值复制给value。
5、还有一个if判断语句,判断用post方法传输的数据是不是和$flag的值相同,如果相同,输出flag。
6、最后输出$200的内容。

解题思路:

由于第7,11-14行间的代码会将$flag的值给覆盖掉,所以只能利用第一个foreach先将$flag的值赋给$_200,然后利用die($_200)将原本的flag值打印出来。

payload:

Get方法传输:?_200=flag
Post方法传输:flag=abcde

小 白 渣
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF学习笔记:php(变量覆盖)
a12332251的博客
12-06 767
php变量覆盖
变量覆盖漏洞
qq_58000413的博客
10-09 452
当你拿着A.COOKIE访问网站的时候,如果开启了SESSION并且赋值的话,网站的本地会存放到一个文件,这个文件代表了COOKIE和SESSION的绑定。*.func.php 基本上会被疯狂调用,基层文件,里面是网站的基础逻辑,而且前台后台通用。相同代码的网站SESSION的权限身份校验是相同的。2.我们造的变量会在接下来的代码里面起奇效。把数组变成变量,把数组中的键变成变量名,把值变成变量值。前面中存在相同的变量,从而后面的变量将前面的变量造成覆盖变量覆盖的危害:取决于具体的代码。
PHP中的变量覆盖漏洞
m0_64583632的博客
07-12 1027
详细介绍在php中可导致变量覆盖的函数或者因素,解释它们造成的变量覆盖的原因和在CTF中是怎么考查的
parse_str函数导致的变量覆盖问题
weixin_43803070的博客
06-08 1390
parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值 源码: 1.<?php 2.error_reporting(0); 3.if (empty($_GET['id...
【基础篇】第11篇:PHP代码审计笔记--变量覆盖漏洞1
08-03
【PHP代码审计笔记--变量覆盖漏洞1】 在PHP编程中,变量覆盖漏洞是一个常见的安全问题,它涉及到程序中变量的不当处理,使得攻击者能够通过输入数据改变原本不应该被修改的变量值。本文将深入探讨几种导致变量覆盖...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞详解】 在PHP编程中,变量覆盖漏洞是一种常见的安全问题,它允许攻击者通过自定义的参数值替换原有的变量值,从而可能导致敏感信息泄露或者执行非法操作。这类漏洞通常出现在以下几种情况: 1. **...
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
变量覆盖漏洞利用`extract()`, `parse_str()`, `import_request_variables()`, `$$`等来改变预定义变量的值,可能导致程序逻辑错误或安全问题。 反序列化漏洞涉及`serialize()`和`unserialize()`函数,攻击者可以...
第53天:代码审计-TP5框架及无框架变量覆盖反序列化1
08-03
7. **变量覆盖漏洞**: `extract()`, `parse_str()`, `import_request_variables()`, `$$`等可能导致变量覆盖,攻击者可以通过设置特定请求参数改变内部变量的值。建议限制这些函数的使用,或者确保变量命名空间的...
[GFCTF202021]Baby-Web只有代码审计部分
最新发布
01-02
代码审计】是一种重要的安全措施,它涉及到对程序源代码的审查,以找出潜在的安全漏洞、错误或不规范的编程实践。在这个特定的题目中,我们看到涉及到了多个PHP函数的使用,这些函数在实际的代码审计过程中是常见...
parse str php ctf,CTF-代码审计(1)——parse_str()变量覆盖
weixin_31830389的博客
03-25 290
题目连接:http://222.18.158.226:7000/iscc.php考点:parse_str()变量覆盖代码: PHP知识点:1.parse_url()参照网址:https://www.php.net/manual/zh/function.parse-url.php 2.$_SERVER[]参考网址:https://php.net/manual/zh/reserved.variabl...
parse_str函数变量覆盖缺陷
烟敛寒林的博客
05-09 923
理论 parse_str函数的作用就是解析字符串并注册成变量,在注册变量之前不会验证当前变量是否存在,所以直接覆盖掉已有变量。 void parse_str ( string $str [, array &$arr ] ) str 输入的字符串。 arr 如果设置了第二个变量 arr,变量将会以数组元素的形式存入到这个数组,作为替代。 实践 测试代码: <?php ...
CTF——PHP审计——变量覆盖
小锤队长的博客
08-25 4257
一,变量覆盖漏洞 参考:https://www.cnblogs.com/xiaozi/p/7768580.html 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有: 1,$$使用不当, 2,extract()函数使用不当, 3,parse_str()函数使用不当, 4,import_request_variables()使用不当, 5,开启...
CTF中的PHP特性函数(下)
小王的储物间
01-04 811
本文到这就结束了,这篇文章讲了几个比较有趣而且有一些难度的特性知识,不知道大家吸收的咋样了,当然PHP特性远没有这么少,有兴趣的小伙伴可以自行去了解一下。喜欢本文的朋友希望可以一键三连支持一下。
PHP一句话木马及绕waf思路
weixin_42299610的博客
03-23 2101
PHP一句话木马: 1 .eval(): <?php @eval($_POST['-7']); ?> eval函数将接受的字符串当做代码执行。 2.assert(): <?php @assert ($_POST['-7']); ?> assert函数将接受的字符串当做代码执行 。 3.preg_replace(): <?php @preg_replace("/...
php变量覆盖,变量覆盖漏洞----parse_str()函数
weixin_42405371的博客
03-10 581
Parse_str()函数引起的变量覆盖漏洞parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值一、分析题目源码:1、 error_reporting()函数规定不同级别错误,这里为关闭错误报告2、 ...
【红日Day7-CTF】parse_str函数缺陷漏洞
PZ的博客
01-13 1553
练习记录 复现代码: index.php <?php $a = "hongri"; $id = $_GET['id']; @parse_str($id); if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) { echo '<a href="flag.php">flag is here</a...
php 变量覆盖漏洞
鱼开yk2的博客
10-09 429
变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:使用不当,extract()函数使用不当,parsestr()函数使用不当,importrequestvariables()使用不当,开启了全局变量注册等。 本篇收集了几个CTF中的题...
PHP代码审计——实操!
lulu001128的博客
08-02 1036
解题过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值