php 变量覆盖 ctf,CTF中的变量覆盖问题

最新推荐文章于 2023-10-01 13:54:07 发布
最新推荐文章于 2023-10-01 13:54:07 发布
阅读量422 收藏 3
点赞数 1
文章标签: php 变量覆盖 ctf

0x00 前言

最近在干代码审计,于是就把之前学习的CTF题目中有关变量覆盖的题目结合下进一步研究。

通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。

本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结。

0x01 $$导致的变量覆盖问题

$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖,变为test。

1 <?php2 //?name=test3

4 //output:string(4) “name” string(4) “test” string(4) “test” test

5

6 $name="thinking";7 foreach ($_GET as $key => $value)8 {9 $$key = $value;10 }11 var_dump($key);12 var_dump($value);13 var_dump($$key);14 echo "".$name;15 ?>

可见$name的值被覆盖掉了

CTF中$$导致的变量覆盖问题的例题1:

题目源码:

1 <?php2 include "flag.php";3 $_403 ="Access Denied";4 $_200 ="Welcome Admin";5 if ($_SERVER["REQUEST_METHOD"] !="POST")6 {7 die("BugsBunnyCTF is here :p…");8 }9 if ( !isset($_POST["flag"]) )10 {11 die($_403);12 }13 foreach ($_GET as $key => $value)14 {15 $$key = $$value;16 }17 foreach ($_POST as $key => $value)18 {19 $$key = $value;20 }21 if ( $_POST["flag"] !== $flag)22 {23 die($_403);24 }25 echo "This is your flag : ". $flag ."\n";26 die($_200);27 ?>

题目分析:

源码包含了flag.php文件,并且需要满足3个if里的条件才能获取flag,题目中使用了两个foreach并且也使用了$$.两个foreach中对 $$key的处理是不一样的,满足条件后会将$flag里面的值打印出来,所以$flag是在flag.php文件文件中的。

但是由于第7,11-14行间的代码会将flag的值给覆盖掉了,所以需要先将flag的值给覆盖掉了,所以需要先将flag的值赋给200或200或_403变量,然后利用die(200)或die(200)或die(_403)将flag打印出来。

解题方法:

由于第7,11-14行间的代码会将$flag的值给覆盖掉,所以只能利用第一个foreach先将$flag的值赋给$_200,然后利用die($_200)将原本的flag值打印出来。

最终PAYLOAD:

本地复现,所以flag与原题不一样

GET DATA:?_200=flag

POST DATA:flag=aaaaaaaaaaaaaaaaaaaaa

20200529094958580648.png

0×02 extract()函数导致的变量覆盖问题

extract() 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

extract()的用法参考:http://www.runoob.com/php/func-array-extract.html

语法: extract(array,extract_rules,prefix)

CTF中extract()导致的变量覆盖问题的例题1:

题目源码:

1 <?php2 $flag =‘xxx’;3 extract($_GET);4 if (isset($gift))5 {6 $content = trim(file_get_contents($flag));7 if ($gift == $content)8 {9 echo‘hctf{…}’;10 }11 else

12 {13 echo ‘Oh..’;14 }15 }16 ?>

题目分析:

题目使用了extract($_GET)接收了GET请求中的数据,并将键名和键值转换为变量名和变量的值,然后再进行两个if 的条件判断,所以可以使用GET提交参数和值,利用extract()对变量进行覆盖,从而满足各个条件。

解题方法:

GET请求 ?flag=&gift=,extract()会将flag和flag和gift的值覆盖了,将变量的值设置为空或者不存在的文件就满足gift==gift==content。

最终PAYLOAD:

GET DATA: ?flag=&gift=

CTF中extract()导致的变量覆盖问题的例题2:

题目源码:

1 <?php2 if ($_SERVER["REQUEST_METHOD"] ==“POST”)3 {4 extract($_POST);5

6 if ($pass == $thepassword_123)7 {8

9 <?php echo $theflag; ?>

10

11 }12 }13 ?>

题目分析:

题目要求使用POST提交数据,extract($_POST)会将POST的数据中的键名和键值转换为相应的变量名和变量值,利用这个覆盖$pass和$thepassword_123变量的值,从而满足pass==pass==thepassword_123这个条件。

解题方法:

使用POST请求提交pass=&thepassword_123=, 然后extract()会将接收到的数据将$pass和$thepassword_123变量的值覆盖为空,便满足条件了。

最终PAYLOAD:

POST DATA:pass=&thepassword_123=

0×03 parse_str函数导致的变量覆盖问题

parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量将覆盖已存在的同名变量。

语法:parse_str(string,array)

20200529094959214462.png

parse_str() 用法参考:http://php.net/parse_str

CTF中parse_str()导致的变量覆盖问题的例题1:

题目源码:

1 <?php2 error_reporting(0);3 if (empty($_GET[‘id‘]))4 {5 show_source(__FILE__);6 die();7 }8 else

9 {10 include (‘flag.php‘);11 $a = "www.OPENCTF.com";12 $id = $_GET[‘id‘];13 @parse_str($id);14 if ($a[0] != "QNKCDZO" && md5($a[0]) == md5("QNKCDZO"))15 {16 echo $flag;17 }18 else

19 {20 exit("其实很简单其实并不难!");21 }22 }23 ?>

题目分析:

首先要求使用GET提交id参数,然后parse_str($id)对id参数的数据进行处理,再使用判断a[0] != ‘QNKCDZO’ && md5(a[0] != ‘QNKCDZO’ && md5(a[0]) == md5(‘QNKCDZO’)的结果是否为真,为真就返回flag,md5(‘QNKCDZO’)的结果是0e830400451993494058024219903391由于此次要满足a[0] != ‘QNKCDZO’ && md5(a[0] != ‘QNKCDZO’ && md5(a[0]) == md5(‘QNKCDZO’)所以要利用php弱语言特性,0e123会被当做科学计数法,0 * 10 x 123。所以需要找到一个字符串md5后的结果是0e开头后面都是数字的,如,240610708,s878926199a

PHP处理0e开头md5哈希字符串缺陷/bug 参考:http://www.cnblogs.com/Primzahl/p/6018158.html

解题方法:

使用GET请求id=a[0]=240610708,这样会将a[0]的值覆盖为240610708,然后经过md5后得到0e462097431906509019562988736854与md5(‘QNKCDZO’)的结果0e830400451993494058024219903391比较都是0 所以相等,满足条件,得打flag。

最终PAYLOAD:

GET DATA:

?id=a[0]=s878926199a

or

?id=a[0]=240610708

0×04 小总结

变量覆盖漏洞在PHP代码审计中会以比较隐晦的方式存在,所以需要更加仔细的阅读源码找出漏洞的点,在CTF里面经常是以比较直接方式展示,所以可以先通过学习CTF各种变量覆盖的题目,然后掌握后再去审计cms,这样可以更加通透的理解掌握和挖掘变量覆盖漏洞。

原文:https://www.cnblogs.com/zzjdbk/p/12985530.html

weixin_39622643
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF PHP离线chm文档
08-09
CTF PHP离线chm文档
php 变量覆盖 ctf,CTF-代码审计(1)——parse_str()变量覆盖
weixin_34801390的博客
03-27 699
题目连接:http://222.18.158.226:7000/iscc.php考点:parse_str()变量覆盖代码:PHP知识点:1.parse_url()参照网址:https://www.php.net/manual/zh/function.parse-url.php2.$_SERVER[]参考网址:https://php.net/manual/zh/reserved.variables....
CTFPHP常见漏洞及利用(未完待续)
qq_34106499的博客
01-25 4904
总结ctf出现的php漏洞及利用
PHP变量覆盖漏洞试验随笔
东隅的博客
09-15 424
PHP变量覆盖漏洞试验随笔
NSSCTF做题(6)
wwwwyyyrre的博客
10-01 462
查看源代码得到开始代码审计page变量不存在或page变量不是字符串时返回false满足page变量在whitelist数组内返回true截取page变量第一个?前的字符串##只有三个条件全部为true时才可触发1.!##条件1表示参数不为空时返回true##条件2表示参数为字符串时返回true##条件3表示参数满足checkFile函数时返回true满足经过两次?截断后仍能通过白名单检查,并且include正确路径,才输出flag。先看看hint.php找到了flag的目录。
BugKuCTF——PHP代码审计-extract变量覆盖
kuller_Yan的博客
10-21 317
BugKuCTF——代码审计–extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 漏洞:extract()函数在传入数值的时候把已有的的值替换掉,所以直接goujianpayload: ?sh
PHP代码审计基础及漏洞挖掘方法
qq_48008847的博客
07-13 631
续昨天 parse_str导致的变量覆盖问题 parse_str( string $encoded_string[, array &$result ] )parse_str()函数用于把查询字符串解析到变量,如果没有result参数,则由该函数设置的变量覆盖已存在的同名变量,如果设置了第二个变量result,变量将会以 数组元素的形式存入到这个数组,作为替代 <?php error_reporting(0); if(empty($_GET['id'])){ show_source
WEB攻防-PHP特性-学以致用
luffysec的博客
01-11 4374
学习笔记-WEB攻防-PHP特性-学以致用
PHP渗透测试题目笔记
Zeker62的博客
02-10 5331
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
php简单代码审计
xianyu9w的博客
04-18 523
题目来源 bugku 题目: <?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(__FILE__); ?> eval能够执行php代码 $_REQUEST: 能获取get/post提交的数据 eval: 把字符串按照 PHP 代码来计算,该字符串必须是合法的 PHP 代码,且必须以分号结尾。 个人猜测应该类似于sql注入 先.
PHP 变量定义和变量替换的方法
01-20
有两种方法把变量替换到字符串——简单的方法和复杂的方法。 简单的方法是把变量名放在双引号字符串或heredoc: $who = ‘Kilroy’; $where = ‘here’; echo “$who was $where”; Kilroy was here 复杂的方法...
ctf杂项解题常用的exe软件
05-18
你也许可以下载到,也许你下载不到,都可以来找我哟!!!感谢你的赞助!!!
CTF-Web-Challenge:使用PHP在Web进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web进行CTF挑战链接: :
CTF 离线C PHP python 汇编函数查询 chm电子书合集
10-06
CTF 离线C PHP python 汇编函数查询 chm电子书合集 离线比赛时使用 学习
基于java的-28-“智慧食堂”设计与实现--LW-源码.zip
04-25
提供的源码资源涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
C#,回文分割问题(Palindrome Partitioning Problem)算法与源代码
04-25
C#,回文分割问题(Palindrome Partitioning Problem)算法与源代码 1 回文串 “回文串”是一个正读和反读都一样的字符串,初始化标志flag=true,比如“level”或者“noon”等等就是回文串。 2 回文分割问题 给定一个字符串,如果该字符串的每个子字符串都是回文的,那么该字符串的分区就是回文分区。 例如,“aba | b | bbabb | a | b | aba”是“abababababa”的回文分区。 确定给定字符串的回文分区所需的最少切割。 例如,“ababababababa”至少需要3次切割。 这三个分段是“a | babbab | b | ababa”。 如果字符串是回文,则至少需要0个分段。 如果一个长度为n的字符串包含所有不同的字符,则至少需要n-1个分段。
node-v9.2.1.tar.xz
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
贪心算法解决活动选择问题,Java版源码
04-25
贪心算法是一种在每一步选择都采取在当前状态下最好或最优的选择,从而希望导致结果是全局最好或最优的算法策略。贪心算法在有最优子结构的问题尤为有效。最优子结构的意思是局部最优解可以决定全局最优解。 附件一个使用贪心算法解决活动选择问题(也称为会议时间安排问题)的 Java 示例代码。这个问题的目标是选择最大的活动数量,使得活动之间互不重叠。 在示例,我们定义了一个 Activity 类来表示每个活动的开始和结束时间。然后,我们创建了一个活动数组,并使用 Arrays.sort() 方法按照活动的结束时间对它们进行排序。 接下来,我们遍历排序后的数组,使用贪心算法的策略选择活动。选择的标准是当前活动的开始时间是否晚于或等于之前选择的最后一个活动的结束时间。如果是,我们就选择这个活动,并更新 lastActivityEnd 为当前活动的结束时间。最后,我们打印出可以执行的最大活动数量。
小程序-2-“最多跑一次”微信小程序--LW-源码.zip
04-25
提供的源码资源涵盖了小程序应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
ctf常用的PHP伪协议
02-15
CTF比赛,常常会使用PHP伪协议来绕过服务器的安全限制或者执行本不应该执行的操作。 PHP伪协议有几种常见的形式: 1. data: 协议 这种形式的PHP伪协议通常用于在HTML嵌入PHP代码,例如: ``` <img src="data:image/png;base64,PHP_CODE_HERE"> ``` 2. php: 协议 这种形式的PHP伪协议通常用于在浏览器执行PHP代码,例如: ``` <a href="php:echo 'Hello, World!';">Click me!</a> ``` 3. file: 协议 这种形式的PHP伪协议通常用于从本地文件读取并执行PHP代码,例如: ``` <a href="file:///etc/passwd">Click me!</a> ``` 注意:使用PHP伪协议可能会导致安全风险,应该谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值