变量覆盖漏洞

变量覆盖原理

变量被重新赋值定义，只会输出第二次赋值定义的值，如下，$a最终会输出3

<?php
$a = 1;
$b = 2;
$a = 3;
echo $a;?>

变量覆盖危害

危害取决于你覆盖了什么代码，如果覆盖了eval()那就是代码执行，如果覆盖了exec()那就是命令执行

变量覆盖函数

1、extract()，将数组变成变量、将数组中的键变为变量名，键值变为变量的值

<?php
$a = "1";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);//用了这个函数，这里面就变为了$a=Cat,$b=Dog,$c=Horse
echo "\$a = $a; \$b = $b; \$c = $c";
?>

2、parse_str()，将字符串变成变量

<?php
parse_str("name=zkaq&&age=60");
echo $name."<br>";
echo $age;
?>

3、$$

<?php
$a = 1;
foreach(array('_COOKIE','_POST','_GET') as $_request) {
//foreach()数组遍历，这段的意思就是将forecah里面的东西一个一个拿出来然后赋值给$_request，然后往下执行
foreach($$_request as $_key=>$_value) 
//上面的代码将_COOKIE向下执行，那么这里的代码就变为了$_COOKIE as $_key=>$_value，as后面的这就是键值分离
//所以这段的意思就是将数组_COOKIE里面的键和值分开，然后向下执行
{$$_key=addslashes($_value);}}
//addslashes()魔术引号，在预定义字符之前添加\，
//根据上面的代码，所以这里就变为了你所传参的$键=值
echo $a;
?>

靶场实战

这次的靶场是一个DuomiCMS，我们开始审计
全局搜索前面所讲的函数和特殊符号，这里只有$$能搜索到

在这里我们看到一个熟悉的身影，foreach xxx as ，我们点进去瞧一瞧，可以看到，这跟之前我们所说的双$的示例是一样的，而_RunMagicQuotes是一个自定义函数，目的是转义特殊符号，防止SQL注入的发生

现在能造变量了，那么我们可以造一个特殊变量

特殊变量：类似于$_GET、$_COOKIE、$_SESSION
SESSION就是决定饭卡里面有多少钱
COOKIE就类似于饭卡，本身没有钱，绑定了SESSION才有的钱

我们去看一下admin目录下的login.php文件，可以看到有一个保持会话的函数，我们定位这个函数


那么我们能不能变量覆盖直接造一个SESSION呢，因为相同代码的网站SESSION的权限身份校验是相同的，而造SESSION要把SESSION造成什么样的呢，上面的截图中有一个登陆成功的页面，我们直接在这里输出SESSION，不就知道SESSION是什么样的了嘛

要造SESSION需要开启session_start()，全局搜索session_start，而这个文件必须调用之前我们找到的common.php那个变量覆盖的文件，而且必须是先执行了session_start()再调用common.php

全部找到了之后我们开始造传参，这个开启session_start()的文件在interface/comment.php，所以传参就是interface/comment.php?_SESSION[duomi_ckstr]=jbdk&_SESSION[duomi_ckstr_last]=“”&_SESSION[duomi_admin_id]=1&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=admin