PHP代码审计 -- $$变量覆盖( unset() 与 extract() )

最新推荐文章于 2024-04-16 20:43:19 发布
最新推荐文章于 2024-04-16 20:43:19 发布
阅读量867 收藏 3
点赞数
分类专栏: PHP随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46635165/article/details/109820939
版权
  • 知识点
  • $$变量覆盖漏洞利用
  • unset() 与 extract() 配合下的巧妙利用

结合例题解析

打开解题网址,目录扫描,得到一个 web1.zip,两个php源码:

在这里插入图片描述1、code.php:

<?php

class Pan
{
    public $hostname = '127.0.0.1';
    public $username = 'root';
    public $password = 'root';
    public $database = 'ctf';
    private $mysqli = null;

    public function __construct()
    {
        
        $this->mysqli = mysqli_connect(
            $this->hostname,
            $this->username,
            $this->password
        );
        mysqli_select_db($this->mysqli,$this->database);

        
    }

    public function filter($string) 
    {
        $safe = preg_match('/union|select|flag|in|or|on|where|like|\'/is', $string);    # s 匹配所有字符
        if($safe === 0){
            return $string;
        }else{
            return False;
        }
		    
    }

    public function getfile()
    {
        
        $code = $_POST['code'];

        if($code === False) return '非法提取码!';
        $file_code = array(114514,233333,666666);
        
        if(in_array($code,$file_code))
        {
            $sql = "select * from file where code='$code'";
            $result = mysqli_query($this->mysqli,$sql);
            $result = mysqli_fetch_object($result);
            return '下载直链为:'.$result->url;
        }else{
            return '提取码不存在!';
        }
        
    }

}

2、index.php 重要部分源码(注释部分请自动忽略~):

			<?php
			include 'code.php';		# 包含 code.php

			$pan = new Pan();		# 创建实例

			foreach(array('_GET', '_POST', '_COOKIE') as $key)		# 三种传值方式	$key = _POST
			{   
				if($$key) {		# $$key = $_GET
					foreach($$key as $key_2 => $value_2) { 			# 将封装在$_GET 等数组中的值拿出来 # $key_2 = $$key = $_POST($_POST 也是一个数组)  $value_2 = Array(cod = ...)
						if(isset($$key_2) and $$key_2 == $value_2)  # 存在 $$变量覆盖 				  #	 所以 $$key == $value_2 条件成立
							unset($$key_2); 		# 销毁变量
					}
				}
			}

			if(isset($_POST['code'])) $_POST['code'] = $pan->filter($_POST['code']);	# 如果POST 创建,进行过滤,需要绕过这个判断才能进行 sql 注入
			if($_GET) extract($_GET, EXTR_SKIP);	#  extract() ,EXTR_SKIP参数:已有变量不被覆盖	 不存在则创建
			if($_POST) extract($_POST, EXTR_SKIP);
			if(isset($_POST['code']))
			{
				$message = $pan->getfile();		# 方法调用
				echo <<<EOF
				<div class="alert alert-dismissable alert-info">
				 <button type="button" class="close" data-dismiss="alert" aria-hidden="true">×</button>
				<h4>
					注意!
				</h4> <strong>注意!</strong> {$message}
				</div>
EOF;
			}
			?>
  • 代码逻辑分析:
    首先从网页那边的提取码登录框 利用 post 传参 code 到 index.php, index.php 会将 code 送入第一个 if , filter() 函数进行过滤,以防止 sql 注入,很显然,如果绕不过 filter 函数,则返回 False ;

观察filter 函数以及两个 php 代码之间的逻辑关系,不难发现,要解题有两种方式: 1,filter 没有过滤 if,sleep 等函数,但是禁用了单引号,所以使用盲注会非常难受 ; 2 ,利用 $$变量覆盖 和 unset() 与 extract() 漏洞 绕过 filter() 检测,使用联合注入;

  • 所以这里直接使用第二种方法,首先学习一下什么是 $$变量覆盖 以及 unset() 与 extract()

  • $$变量覆盖
    $$变量即可变变量,将一个变量的值加上 $ 来作为 另一个变量的名字;
    本地演示代码:

<?php
    $x = "hello";
    $$x = 666;
    echo $x;
    echo "<br>";
    echo $$x;
    echo "<br>";
    echo $$x === $hello;
?>

结果如下:显然,可变变量 $$x 将 $x 的值 hello 拿来拼接上 $ 变成了 $hello ,于是 $$x === $hello ;
在这里插入图片描述

$$变量覆盖问题经常在php代码审计中与 foreach() 遍历数组来出题,本地漏洞利用 代码示例:

<?php
    foreach(array('_GET','_POST') as $key){
        if($$key){
          #  var_dump($$key);     # 输出 GET 或 POST 方式提交的数据
            foreach($$key as $key2 => $_value){
                $$key2 = $_value;
            }
        }
    }
    if(isset($flag)){
        if($flag === 'hack'){
            echo "good job , this is flag{xxxxxxx}";
        }else{
            echo "nothing  here  ";
        }
    }else{
        echo "no no no";
    }
?>

这里,使用 GET 或者 POST 方式传参,就能触发 $$ 变量覆盖, 显然, 当我们传入 ?flag=hack 时,php 首先将 get 传参变成数组赋给全局变量 $_GET = array(‘flag’ => 'hack’) ,经过第一次 foreach 之后, $$key 就是$_GET , 而 $key2 = flag , $_vlaue = hack ;再经过第二次 foreach 之后,$$key2 = $flag 。
此时便意外创建了一个变量为 $flag ,并且被赋值后 $flag === ‘hack’ 形成漏洞;
在这里插入图片描述

  • unset(): 销毁或者删除一个变量

  • extract(array,[EXTR_SKIP/EXTR_OVERWRITE]) : 第一个参数是 数组,该函数的功能是将一个数组中的键名拿出来当做 变量名,将键值拿出来当做变量的值,即 创建变量 , 第二参数, EXTR_SKIP :如果创建的变量已存在,则不进行创建,EXTR_OVERWRITE:如果创建的变量已存在,则覆盖原有变量;

  • 继续解题
    核心代码再分析:

			foreach(array('_GET', '_POST', '_COOKIE') as $key)		# 三种传值方式	$key = _POST
			{   
				if($$key) {		# $$key = $_GET
					foreach($$key as $key_2 => $value_2) { 			# 将封装在$_GET 等数组中的值拿出来 # $key_2 = $$key = $_POST($_POST 也是一个数组)  $value_2 = Array(cod = ...)
						if(isset($$key_2) and $$key_2 == $value_2)  # 存在 $$变量覆盖 				  #	 所以 $$key == $value_2 条件成立
							unset($$key_2); 		# 销毁变量
					}
				}
			}

			if(isset($_POST['code'])) $_POST['code'] = $pan->filter($_POST['code']);	# 如果POST 创建,进行过滤,需要绕过这个判断才能进行 sql 注入
			if($_GET) extract($_GET, EXTR_SKIP);	#  extract() ,EXTR_SKIP参数:已有变量不被覆盖	 不存在则创建
			if($_POST) extract($_POST, EXTR_SKIP);
			if(isset($_POST['code']))
			{
				$message = $pan->getfile();		# 方法调用

审计代码发现,要绕过 filter() 函数,则要是 $_POST[‘code’] 不存在,而输入框是通过 post方式提交数据,便要从GET方式提交数据入手,而整个核心代码中,下面这段代码便是绕过 filter 的关键点:

			foreach(array('_GET', '_POST', '_COOKIE') as $key)		# 三种传值方式	$key = _POST
			{   
				if($$key) {		# $$key = $_GET
					foreach($$key as $key_2 => $value_2) { 			# 将封装在$_GET 等数组中的值拿出来 # $key_2 = $$key = $_POST($_POST 也是一个数组)  $value_2 = Array(cod = ...)
						if(isset($$key_2) and $$key_2 == $value_2)  # 存在 $$变量覆盖 				  #	 所以 $$key == $value_2 条件成立
							unset($$key_2); 		# 销毁变量
					}
				}
			}

我们可以利用 GET 方式传 payload 结合 $$变量覆盖,并且同时使用 POST传一样的数据来使得第二个 if判断成立来调用 unset 销毁 $_POST ,从而绕过 filter;
payload : GET传参:url?_POST[code]=114514' %23
同时POST传参:code=114514' %23 (%23 经过 url 解码后变成 #)

对这个payload 进行 深入分析它在代码中的作用:
首先我们页面 GET 方式传参,使得全局$_GET存在,第一个 if 判断成立,进入第二个foreach 来遍历 $_GET 这个数组,$key_2 = _POST , $value_2 = array(‘code’ => ‘114514’ #’) , 进入第二个if判断,此时,$$key_2 = $_POST ,而我们使用了 POST方式提交了 code=114514’ 的数据,所以 $_POST 是存在的,并且为 $_POST = array(‘code’ => ‘114514’ #’) ,isset()返回 True, 并且$$key_2 == $value_2 ,判断条件成立, 执行 unset() 将 $$key_2 也就是 $_POST 销毁;

至此,便成功绕过了 filter 的检测; 而此时,往后看代码发现:后面仍有一个地方是需要使用到 $_POST[‘code’]的;

if(isset($_POST['code']))
			{
				$message = $pan->getfile();		# 方法调用

因此,这里 extract() 函数就为我们提供了便利:

			if($_GET) extract($_GET, EXTR_SKIP);	#  extract() ,EXTR_SKIP参数:已有变量不被覆盖	 不存在则创建
			if($_POST) extract($_POST, EXTR_SKIP);

分析:执行第一个if,$_GET = array(’_POST’ => array(‘code’ => ‘114514’ #’) ) ,条件成立,执行 extract() ,extract 创建变量,将$_GET 数组中的 键名 _POST 拿出来作为变量名变成$_POST, 将键值赋给变量,最终创建一个变量:$_POST=array(‘code’ => ‘114514’ #’) , 而 前面我们刚好 unset掉了一个 $_POST 来绕过 filter,所以这里第二个 EXTR_SKIP参数便如同虚设,最终创建了一个 $_POST 变量使得后面需要用到该变量的地方成立;

至此,整个关于绕过 filter的过程结束,后面便是构造 payload 并同时 使用 POST,GET 传参,进行一个常规的SQL联合注入便可解题;

最后建议去搭建本地环境来观察php 对于 post ,get ,cookie 传参的处理,以及一些漏洞的利用;

我在干饭
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(渗透学习)PHP($$)变量覆盖原理分析----变量覆盖漏洞
yang1234567898的博客
12-25 1395
如下代码段: <?php foreach (array("_COOKIE","_POST","_GET") as $_request){ foreach ( $$_request as $key => $value ){ $$key = $value } } ?> 首先将数组("_COOKIE","_POST","_GET")赋给$_request,即 $_request = ("_COOKIE","_POST","_GET") 然后拼接成...
CTF——PHP审计——变量覆盖
小锤队长的博客
08-25 4281
一,变量覆盖漏洞 参考:https://www.cnblogs.com/xiaozi/p/7768580.html 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有: 1,$$使用不当, 2,extract()函数使用不当, 3,parse_str()函数使用不当, 4,import_request_variables()使用不当, 5,开启...
页面布局备忘
weixin_33965305的博客
12-11 114
一直在用flex做前端,都习惯面向对象的组件模式装配ui,最近想做一些基于网页的以信息展示为主的网站系统,我简称信息发布内核,内核两字表明我只是想做基本功能,不是做一个大而全的内容发布系统。首先得考虑的就是页面的布局模式。页面的布局模式与所选用的页面技术相关,初步计划选择thymeleaf,源于它的natural理念。thymeleaf的eclipse插件:https://github.com/t...
PHP-$$变量覆盖
最新发布
asdfaa的博客
04-16 470
这里介绍一个超全局变量$GLOBALS,它可以引用全局作用域中可用的全部变量(一个包含了全部变量的全局组合数组。如果args的值是只由大小写字母数字和下划线,则执行eval(“var_dump($$args)”)。总体意义就是限定一个任意长字符串全部由字母数字组成,前面中间后面都不能有空格、标点等非\w字符。通过提示“flag在变量里”,想能不能通过打印所有变量的值来获得flag。分析代码逻辑,首先检测变量是否设置,然后是一个正则匹配传入的值。\w表示包含[a-z,A-Z, _ , 0-9]
变量覆盖
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
09-04 2843
extract()函数 parse_str()函数 import_request_variables()函数
php变量可不可以被覆盖,php中$$变量覆盖问题
weixin_39527879的博客
03-17 121
一个小的知识点。。。这里主要是一个关于$$变量覆盖问题和eval("var_dump($x);");中绕过var_dump造成命令执行漏洞的分析我将PHP代码写在test.php文件里了root@kali:/var/www/html# vi test.php代码内容:可以发现这里$$x实际就是一个变量覆盖问题,而$x变量又是我们可控的,所以就可以var_dump一些我们想打印的东西,例如paylo...
PHP代码审计Day5-8练习题
酉酉的博客
10-27 1575
文章目录前言Day5 – escapeshellarg与escapeshellcmd使用不当解题第一部分payload:第二部分payloadDay6 - 正则使用不当导致的路径穿越问题解题payloadDay7 - parse_str函数缺陷解题Day8 - preg_replace函数之命令执行解题 前言 改自先知社区-红日安全- Day5 – escapeshellarg与escapes...
PHP代码审计归纳总结
qq_45655564的博客
07-06 956
变量覆盖 extract() 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。条件:若有EXTR_SKIP则不行。 <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?> # 结果:
代码审计之弱类型,变量覆盖,伪协议
willow_liang的博客
11-13 199
弱类型 ==与===: <?php $a == $b; $a === $b; ?> php中有两种比较的符号==与=== ==在进行比较的时候,会先将字符串类型转化成相同,再比较 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行 <?php var_dump("1admin" == 1); ?> //输出true <?php var_dump(
------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 635
学到的 extract覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
php变量覆盖
西部壮仔的博客
03-14 2603
前言 变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。 经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数等. 正文 $$ 变量覆盖的问题 简介 在PHP中$$表示的是一个可变变量获取了一个普通变量的值作为这个可变变量变量名。 <?php $c='hello'; $$c='world'; ec...
Bugku-代码审计-extract变量覆盖
多崎巡礼的博客
08-23 1817
代码审计|变量覆盖漏洞 0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究。  通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开...
php extract 变量覆盖,跟着crownless学Web之strcmp、extract变量覆盖
weixin_42136365的博客
03-10 262
原标题:跟着crownless学Web之strcmp、extract变量覆盖 简介:本文由Web安全版块的新版主crownless原创讲解。下文将以CTF赛题讲解的形式为大家介绍一系列的Web基础知识,讲解的顺序将是循序渐进,因此不需要读者有任何基础知识。希望能吸引更多人关注看雪的Web安全版块,为版块增加人气和活力。本篇为『跟着crownless学Web系列』的第三和第四部分,建议没有了解前两部...
PHP代码审计变量覆盖
god_Zeo的安全博客
09-09 373
0x00 前提 本文是给作为给小伙伴分享教学的一篇文章,给讲一下,所以写的比较简陋。。。见谅而且都比较基础,只是简单讲课提纲吧 0x01 变量覆盖审计 0x00 简介 变量覆盖,顾名思义就是可以覆盖已有变量值,导致变量覆盖漏洞 常见的造成的代码审计的情景是代码中出现以下关键词: register_globals=on extract()函数 parse_str()函数 import_request_variables()函数 $$ 0x01 变量覆盖演示 extract() extract(array
NCTF-变量覆盖
苟有恒,必有三更眠,五更起。
03-05 654
NCTF-变量覆盖 原题链接: http://ctf.nuptsast.com/challenges#%E5%8F%98%E9%87%8F%E8%A6%86%E7%9B%96 分析: 看源码: &lt;?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?&gt; &l...
变量覆盖(超详细!)
qq_45300786的博客
09-14 4954
单引号不会解析,所以写的是$a那么就是$a 双引号会解析,所以输出 b 这些斜杠的的意思就是,让后面的变量失去意义。那么写的是什么就是什么。 extract函数就是把数组中的变量覆盖掉原来的变量, 这里我们可以理解为本来变量a应该输出Original,但是因为extract函数,所以把原来的a给覆盖了 去掉斜杠之后就会变得有意义,让变量生效。 extract函数就是把数组中的变量覆盖掉原来的变量, 这里我们可以理解为本来变量a应该输出Original,但是因为extract函数,所以...
代码审计中的一些变量覆盖
T-bag的博客
04-18 663
parese_str() extract()等函数导致的变量覆盖parse_str() 函数把查询字符串解析到变量中。 extract() 函数从数组中将变量导入到当前的符号表。 http://www.w3school.com.cn/php/func_array_extract.asp http://www.w3school.com.cn/php/func_string_parse_s
extract变量覆盖
WYJ____的博客
05-13 682
?flag=&shiyan= ?flag=1&shiyan= 1. extract($_GET) 返回值为一个整型数字:传入的键值对数组的参数的个数。 这个函数功能实现效果: 把http://xxx.xx/?a=1&b=2&c=333 解析为:$a=1;...
extract()变量覆盖
a3uRa的一个窝
08-04 2272
PHP extract() 函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量名,键值用于变量值。 下面是PHP的超级全局变量,可以了解一个特性,全是数组。 GLOBALS,所有全局变量数组GLOBALS,所有全局变量数组GLOBALS, 所有全局变量数组 _SERVER, 服务器环境变量数组 GET,通过GET方法传递给脚本的变量数组GET,通过GET方法传递给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值