知识点:
$$变量覆盖漏洞
变量覆盖漏洞详解_poggioxay的博客-CSDN博客_变量覆盖漏洞
参考,意思就是说,存在一些函数比如exit()extract()
函数使用不当,parse_str()
函数使用不当,import_request_variables()
使用不当,包含了变量,如果get传参等方式就会覆盖之前的变量,达到控制变量而读取flag;诸如出现echo xxx .$flag
$$特殊符号
-
不仅仅是函数会导致变量覆盖,有些特殊符号的特殊搭配也会引起变量覆盖漏洞,比如
$$
。 -
$$
导致的变量覆盖问题在CTF
代码审计题目中经常在foreach
中出现,如以下的示例代码,使用foreach
来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的值作为变量的值,因此就产生了变量覆盖漏洞。请求?name=test
会将$name
的值覆盖,变为test
。
比如这道题的代码如下:
index.php最后的代码:
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
$$x = $y;
}
foreach($_GET as $x => $y){
$$x = $$y;
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){
exit($handsome);
}
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);
}
echo "the flag is: ".$flag;
可以通过构造三个exit()的其中一个来实现达到读取flag
第一个:?handsome=flag&flag=b&b=flag
不是很理解;
第二个最简单:
直接?yds=flag
第三个:
?flag=flag&is=flag