php的变量覆盖漏洞前提,PHP中的变量覆盖漏洞深入解析

最新推荐文章于 2024-05-02 10:00:00 发布
最新推荐文章于 2024-05-02 10:00:00 发布
阅读量329 收藏 1
点赞数
文章标签: php的变量覆盖漏洞前提

8731a31b6c853550098db38145cbb69d.png

1.extract()变量覆盖

1.extract()

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。

extract(array,extract_rules,prefix)

参考引用:https://www.runoob.com/php/func-array-extract.html

eg:

extract($_GET);

echo $name."
";

echo $age."
";

echo $phone."
";

//GET传参:?name=xiaohua&age=22&phone=112323123

//结果:

// xiaohua

// 22

// 112323123

?>

2.CTF中extract()导致的变量覆盖

$flag="flag.php";

extract($_GET);

if(isset($ceshi))

{

$content=trim(file_get_contents($flag));

if($ceshi==$content)

{

echo"flag{xxxxxxx}";

}

else

{

echo"Oh.no";

}

}

?>

我们大致分析是要求我们GET传参进去值会经过extract()函数下来会有两个if 第一个if判断 ceshi这个变量是否存在 存在则继续执行if里面的

使用file_get_contents()读取flag变量里面的文件传递给content变量 之后再进行判断传进来ceshi变量的值等不等于$content如果等于则打印出flag!

这里我们构造因为通过extract()函数我们传进的值会变成一个变量 例如我们GET传入 ceshi=1 则会存在$ceshi=1 所以我们构造GET传参pyaload:

GET传参payload:$ceshi=&$flag=

这样再程序中会有两个为空的变量而$flag=空 则覆盖了上面的$flag中的值 这样进行判断 都是空的所以为真则得到flag

3.漏洞修复

不要使用。。。。

参考 官方文档 修改extract_rules 里面的值为EXTR_SKIP eg:

extract($_GET,EXTR_SKIP);

2.PHP动态变量覆盖

1.动态变量覆盖

PHP动态变量是指一个变量名的变量名可以动态的设置和使用,一个变量获取另一个变量的值作为这个变量的变量名。

$bar= "a";

$Foo="Bar";

$World="Foo";

$Hello="world";

$a="Hello";

echo $a; //hello

echo $$a; //world

echo $$$a; //foo

echo $$$$$a; //Bar

echo $$$$$$a; //a

echo $$$$$$$a; //hello

echo $$$$$$$$a; //world

?>

CTF中的动态变量覆盖

https://www.cnblogs.com/xhds/p/12586928.html CTF中的动态变量覆盖

3.漏洞修复

避免使用这个

3.parse_str()变量覆盖

1.parse_str()

parse_str() 函数把查询字符串解析到变量中。

注释:如果未设置 array 参数,由该函数设置的变量将覆盖已存在的同名变量。

注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。

parse_str(string,array)

参考引用:https://www.runoob.com/php/func-string-parse-str.html

eg:

parse_str("name=xiaohua&age=22");

echo $name."
";

echo $age;

?>

//xiaohua

//22

2.CTF中parse_str()导致的变量覆盖

error_reporting(0);

$flag="flag{xiaohua-2020}";

if (empty($_GET["id"])) {

show_source(__FILE__);

die();

} else {

$a = "www.xiaohua.com";

$id = $_GET["id"];

@parse_str($id); //

if ($a[0] != "QNKCDZO" && md5($a[0]) == md5("QNKCDZO")) {

echo $flag;

} else {

exit("no no");

}

}

?>

分析代码 判断GET传入的id值是否为空为空的话输出源码终止程序,否则的话则接收id值 经过parse_str() 然后呢if判断 $a[0] 的值要不等于QNKCDZO

但$a[0]的md5值要等于QNKCDZO这里可以采用Hash比较缺陷来解决这一步 下来就是传入变量覆盖$a[0]的值 因为有parse_str所以我们可以构造payload:

payload:http://127.0.0.1/test.php?id=a[0]=s878926199a

3.漏洞修复

为了防止变量覆盖,尽量使用指定输出变量方式

4.import_request_variables()变量覆盖

1.import_request_variables()

(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)

import_request_variables―将 GET/POST/Cookie 变量导入到全局作用域中

将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了register_globals,但又想用到一些全局变量,那么此函数就很有用。

import_request_variables ( string $types [, string $prefix ] ) : bool

参考引用:https://www.php.net/manual/zh/function.import-request-variables.php

2.CTF中import_request_variables()导致的变量覆盖

$num=0;

//include "flag.php";

import_request_variables("gp"); //导入get和post中变量

if($num=="xiaohua"){

echo "flag{ xiaohua-2020-3-28}";

// echo $flag.php;

}else{

echo "NO!";

}

?>

//payload:http://127.0.0.1/test.php?num=xiaohua

//flag{ xiaohua-2020-3-28}

3.漏洞修复

尽量不要使用....

5.PHP全局变量覆盖

1.register_globals

当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而使用,这会造成全局变量覆盖

在PHP5.3之前 默认开启 PHP5.3默认关闭 PHP5.6及5.7已经被移除

2.CTF中全局变量覆盖

测试环境:php5.2.17

if ($num){

echo "flag{xiaohua-2020-3-28}";

}

?>

//payload:http://127.0.0.1/test.php?num=1

//flag{xiaohua-2020-3-28}

3.漏洞修复

关闭register_globals=off 或者使用5.6以上版本。。

到此这篇关于PHP中的变量覆盖漏洞深入解析的文章就介绍到这了,更多相关PHP中的变量覆盖漏洞内容请搜索云海天教程以前的文章或继续浏览下面的相关文章希望大家以后多多支持云海天教程!

武垣清舍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php extract 变量覆盖,extract变量覆盖
weixin_33273250的博客
03-10 944
Bugkuctf题库的一道代码审计题,通过巧妙利用file_get_contents函数特性来绕过extract变量覆盖源代码如下:12345678910111213141516
PHP代码审计(1)
RoboTerh的博客
08-06 626
extract变量覆盖 了解PHP extract函数点我 贴段代码: <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'ctf{xxx}'; } else { echo'Oh.no'; } } ?&gt
变量覆盖漏洞原理和代码解析
最新发布
A526847的博客
05-02 795
针对数组的每个元素,将在当前符号表创建对应的一个变量变量覆盖漏洞最常见的漏洞点是在做变量注册时没有验证变量是否存在,以及在赋值给变量的时候,所。如果一定要使用前面几种方式注册变量,为了解决变量覆盖的问题,可以再注册变量前先判断变量是否。最重要的一点,自行申明的变量一定要初始化,不然即使注册变。是一种可变变量的写法,它可以使一个普通变量的值作为可变变量的名字,这种类型常常会使用遍历。注册个别变量,可以直接在代码定义变量,然后再把请求的值赋值给他们。参数,由该函数设置的变量覆盖已存在的同名变量
php extract 变量覆盖,变量 覆盖漏洞----$$
weixin_35949857的博客
03-10 776
变量覆盖漏洞经常引发变量覆盖漏洞的函数有:extract(),parsestr()和importrequestvariables()和$$(可变变量)$$可变变量引起的变量覆盖漏洞一、我们先来查看源代码进行分析1、Include 调用了flag.php文件2、$_200,$403 定义两个参数,以及参数值。3、接着是两个判断语句,判断访问页面的方法是否为post方法和有没有参数flag。...
php 函数用法 extract()
qq_40162483的博客
05-01 386
extract() 函数 用于将一个数组内的值   赋予给它的键变量   在做一些配置时很有用  不需要在给键设置为变量再赋值,
catf1ag CTF刷题1(比较入门)
weixin_63231007的博客
05-09 902
1. 变量覆盖_extract _extract函数存在变量覆盖,因此再get传入_init_str=6即可满足条件 2. 等于False md5()函数存在漏洞,传入为数组时,会报错返回NULL值,满足==0 3. 啥都没了 主机关机了,以为啥都没了,没想到。。。肯定是备份考察 index.php.bak index.php.swp 发现.index.php.swp下载的文件里flag 4. 文件包含 题目说了是文件包含漏洞。发现?file=参数,查看源码得知flag所在文件.
【基础篇】第11篇:PHP代码审计笔记--变量覆盖漏洞1
08-03
总结来说,变量覆盖漏洞通常源于对用户输入处理的疏忽,尤其是在全局变量变量变量、数组提取以及字符串解析过程。开发人员应当遵循最佳实践,如关闭`register_globals`,谨慎使用`$$`、`extract()`和`parse_str...
PHP代码审计小结1
08-03
3. **变量覆盖**:允许通过GET、POST、COOKIE等方式覆盖安装锁变量,导致安装过程可以被反复触发。 4. **解析漏洞**:文件名处理不当,可能导致恶意解析PHP文件执行。 #### 包含漏洞 1. **本地文件包含**:通常...
PHP代码审计入门指南1
08-04
本指南不仅涵盖了代码审计的要点,还讲解了漏洞产生的原理和防御方法,旨在提升读者对Web安全的深入理解。 在开始PHP代码审计之前,首先需要准备合适的工具。推荐使用Visual Studio Code(VS Code),一个免费且...
php cookie点号(句号)自动转为下划线问题
12-19
a=1`,即使在脚本有 `$a` 的定义,其值也会被覆盖,这可能导致安全漏洞。因此,从PHP 5.4版本开始,`register_globals` 被默认禁用,而在PHP 7及更高版本被完全移除。 了解了这个问题的背景,我们可以学习如何...
php安全配置记录和常见错误梳理(总结)
12-20
首先,`register_globals`是一个历史遗留的设置,当其设置为`ON`时,变量会自动从URL或POST数据注册到全局作用域,这可能导致意外的变量覆盖和安全风险。因此,最佳实践是将其设置为`OFF`,这也是新版本PHP的默认...
bugku ctf 代码审计 extract变量覆盖
qq_42777804的博客
05-21 2567
<?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> extract() 函数从数组变量导入到当...
php extract 变量覆盖,跟着crownless学Web之strcmp、extract变量覆盖
weixin_42136365的博客
03-10 244
原标题:跟着crownless学Web之strcmp、extract变量覆盖 简介:本文由Web安全版块的新版主crownless原创讲解。下文将以CTF赛题讲解的形式为大家介绍一系列的Web基础知识,讲解的顺序将是循序渐进,因此不需要读者有任何基础知识。希望能吸引更多人关注看雪的Web安全版块,为版块增加人气和活力。本篇为『跟着crownless学Web系列』的第三和第四部分,建议没有了解前两部...
变量覆盖漏洞原理和总结
yggcwhat
01-16 4416
前言 哈哈哈,还是看了很多文章感觉都没说到重点,所以就写了一篇。说到变量覆盖这个漏洞,其实就是对我们程序里面的全局变量进行了个覆盖,意思就是说通过我们前端传过来的参数来控制程序里面全局变量的值,一般要发现变量覆盖漏洞,只能是代码审计了,而且一般是出现在支付、登录等等页面里面的,这个漏洞大部分都是配合其他漏洞来进行攻击的。 正文 先说一说有哪些函数可能出现这个漏洞 extract()函数,parse_str()函数,$$,import_request_variables()想这些函数就有可能出现变量
bugku Web8
rommel的博客
08-28 5321
extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "This is flag:" ." $flag"; } else { echo "sorry!"; } } ?> 根据题目的提示我们猜测目录下有txt文件,于是我们试出了http:
php extract 漏洞,PHP Zip Extract方法拒绝服务漏洞
weixin_39777404的博客
03-12 219
发布日期:2010-12-10更新日期:2010-12-10受影响系统:PHP PHP 5.3.3PHP PHP 5.3.2PHP PHP 5.3.1PHP PHP 5.3PHP PHP 5.2 - 5.3.2不受影响系统:PHP PHP 5.3.4PHP PHP 5.2.15描述:----------------------------------------------------------...
EXTRACT()
Cecilia_W422的博客
03-23 709
SELECT -- Select the season and max goals scored in a match season, MAX(home_goal + away_goal) AS max_goals, -- Select the overall max goals scored in a match (SELECT MAX(home_goal + away...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值