php extract 变量覆盖,extract变量覆盖

最新推荐文章于 2024-03-28 11:24:58 发布
最新推荐文章于 2024-03-28 11:24:58 发布
阅读量929 收藏 3
点赞数
文章标签: php extract 变量覆盖

Bugkuctf题库中的一道代码审计题,通过巧妙利用file_get_contents函数特性来绕过extract变量覆盖

源代码如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16<?php

$flag='../readme.txt';

extract($_GET);

if(isset($shiyan)){

@$content=trim(file_get_contents($flag));

if($shiyan == $content){

echo 'flag{xxx}';

}

else{

echo 'oh,no';

}

}

?>

首先先弄明白几个函数:

extract:该函数将数组的键名作为变量名,键名对应的键值作为对应的变量值,返回值为设置成功的变量个数

也就是说这里的extract($_GET)将我们GET的参数名作为变量名,参数值作为变量值

例子如下:

1

2

3

4

5

6

7

8

9

10

11

12<?php

if(isset($_GET['shiyan']) $$ isset($_GET['flag'])){

$a=extract($_GET);

echo '$a:'.$a;

echo '
';

echo '$shiyan:'.$shiyan;

echo '
';

echo '$flag:'.$flag;

}

?>

输出结果:

87d72614d2432e42db7e3001c28c85c6.png

成功设置了两个变量,$shiyan和$flag,所以$a=2

file_get_contents:将文件内容作为字符串输出

例子如下:

1

2

3

4

5

6

7<?php

$flag='../readme.txt';

$content=file_get_contents($flag);

echo $content;

?>

输出结果

3284a71d62aa2495ec9b37513884dfe6.png

这里注意file_get_contents函数里的参数是$flag,也就是说我们GET进来的参数flag值会将之前的flag值覆盖掉,从而造成变量覆盖,而我们输入的flag值如果不为文件名,函数执行错误,$content会被赋值为空

例子如下:

1

2

3

4

5

6

7

8

9

10<?php

$flag='../readme.txt';

if(isset($_GET['flag'])){

extract($_GET);

@$content=file_get_contents($flag);

echo $content.'1';

}

?>

输出结果:

9d303d4e89777f6b7a66417ccc75777d.png

要得到最终要的flag,就必须要让变量content值等于变量shiyan的值

所以我们可以让shiyan值也为空,这样flag值任意输入,只要不为文件名,就一定相等

631ff7eb6d148a3f6cf1f8f1e386ddaf.png

另外,即使shiyan值为空,isset($shiyan)也是返回true的

1

2

3

4

5

6

7

8<?php

$shiyan="";

if(isset($shiyan)){

echo "11";

}

?>

输出结果:

2d75b1f56d41905c58f8694f5d5717af.png

影智
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bugku ctf 代码审计 extract变量覆盖
qq_42777804的博客
05-21 2543
<?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> extract() 函数从数组中将变量导入到当...
php 函数用法 extract()
qq_40162483的博客
05-01 384
extract() 函数 用于将一个数组内的值   赋予给它的键变量   在做一些配置时很有用  不需要在给键设置为变量再赋值,
php变量覆盖漏洞前提,PHP中的变量覆盖漏洞深入解析
weixin_36282704的博客
03-25 324
1.extract()变量覆盖1.extract()extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数返回成功设置的变量数目。extract(array,extract_rules,prefix)参考引用:https://www.runoob.com/php/func-ar...
php中的变量覆盖漏洞
最新发布
weixin_66839513的博客
03-28 679
变量覆盖就是通过外部输入将某个变量的值覆盖,将自定义的参数值替换掉原有变量值的情况就是变量覆盖漏洞。
变量覆盖(超详细!)
qq_45300786的博客
09-14 4847
单引号不会解析,所以写的是$a那么就是$a 双引号会解析,所以输出 b 这些斜杠的的意思就是,让后面的变量失去意义。那么写的是什么就是什么。 extract函数就是把数组中的变量覆盖掉原来的变量, 这里我们可以理解为本来变量a应该输出Original,但是因为extract函数,所以把原来的a给覆盖了 去掉斜杠之后就会变得有意义,让变量生效。 extract函数就是把数组中的变量覆盖掉原来的变量, 这里我们可以理解为本来变量a应该输出Original,但是因为extract函数,所以...
php extract 变量覆盖,跟着crownless学Web之strcmp、extract变量覆盖
weixin_42136365的博客
03-10 239
原标题:跟着crownless学Web之strcmp、extract变量覆盖 简介:本文由Web安全版块的新版主crownless原创讲解。下文将以CTF赛题讲解的形式为大家介绍一系列的Web基础知识,讲解的顺序将是循序渐进,因此不需要读者有任何基础知识。希望能吸引更多人关注看雪的Web安全版块,为版块增加人气和活力。本篇为『跟着crownless学Web系列』的第三和第四部分,建议没有了解前两部...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 全局变量覆盖 extarct()变量覆盖 遍历初始化变量 ...
php 数组处理函数extract详解及实例代码
10-21
`PHP`的`extract()`函数是一个非常实用的数组处理函数,它允许我们将数组中的元素转换成独立的变量,使得变量名基于数组的键名,变量值则是对应的键值。这在处理表单数据或者需要快速从数组中获取多个变量时非常方便...
PHPextract()函数的妙用分析
10-28
PHP编程语言中,`extract()`函数是一个非常实用的工具,它允许开发者将数组中的元素转换为独立的变量,从而简化了数组数据的处理。通过将数组的键名作为变量名,键值作为变量值,`extract()`可以极大地提高代码的...
第53天:代码审计-TP5框架及无框架变量覆盖反序列化1
08-03
`extract()`, `parse_str()`, `import_request_variables()`, `$$`等可能导致变量覆盖,攻击者可以通过设置特定请求参数改变内部变量的值。建议限制这些函数的使用,或者确保变量命名空间的隔离。 8. **反序列化...
PHP代码审计(含详细文件目录)
04-05
01 extract变量覆盖.php 02 绕过过滤的空白字符.php 03 多重加密.php 04 SQL注入_WITH ROLLUP绕过.php 05 ereg正则%00截断.php 06 strcmp比较字符串.php 07 sha()函数比较绕过.php 08 SESSION验证绕过.php 09 密码md...
变量覆盖漏洞原理和总结
yggcwhat
01-16 4372
前言 哈哈哈,还是看了很多文章感觉都没说到重点,所以就写了一篇。说到变量覆盖这个漏洞,其实就是对我们程序里面的全局变量进行了个覆盖,意思就是说通过我们前端传过来的参数来控制程序里面全局变量的值,一般要发现变量覆盖漏洞,只能是代码审计了,而且一般是出现在支付、登录等等页面里面的,这个漏洞大部分都是配合其他漏洞来进行攻击的。 正文 先说一说有哪些函数可能出现这个漏洞 extract()函数,parse_str()函数,$$,import_request_variables()想这些函数就有可能出现变量
bugku Web8
rommel的博客
08-28 5320
extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "This is flag:" ." $flag"; } else { echo "sorry!"; } } ?> 根据题目的提示我们猜测目录下有txt文件,于是我们试出了http:
EXTRACT()
Cecilia_W422的博客
03-23 698
SELECT -- Select the season and max goals scored in a match season, MAX(home_goal + away_goal) AS max_goals, -- Select the overall max goals scored in a match (SELECT MAX(home_goal + away...
bugku代码审计1 extract变量覆盖
BengDouLove的博客
02-11 213
bugku代码审计1 extract变量覆盖 去网上看了几个wp,好像都不太详细,对于file_get_content()函数都没有解释 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content)...
php变量覆盖漏洞前提,PHP中的变量覆盖漏洞
weixin_42355999的博客
03-25 155
简介11.extract()变量覆盖1.extract()extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数返回成功设置的变量数目。extract(array,extract_rules,prefix)参考:https://www.runoob.com/php/func-a...
BUGKU代码审计之extract变量覆盖
weixin_43803070的博客
06-07 499
话不多说直接上代码: <?php $flag='xxx'; extract($_GET); //变量覆盖 if(isset($shiyan)) //shiyan这个变量一定要存在,说白了不能的等于0. { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{...
extract oracle
09-08
在Oracle数据库中,extract函数是一个用于从日期或时间间隔类型中提取特定部分的函数。该函数从Oracle 9i版本开始引入。 举个例子,使用extract函数可以从systimestamp函数返回的时间戳中提取年、月、日、分钟、秒...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值