php变量覆盖,boblog任意变量覆盖漏洞

最新推荐文章于 2021-11-17 09:39:50 发布
最新推荐文章于 2021-11-17 09:39:50 发布
阅读量147 收藏
点赞数
文章标签: php变量覆盖

漏洞代码如下:

// go.php

$q_url=$_SERVER["REQUEST_URI"];

@list($relativePath, $rawURL)=@explode('/go.php/', $q_url);

$rewritedURL=$rawURL; // 来自$_SERVER["REQUEST_URI"],可以任意提交的:)

...

$RewriteRules[]="/component/([^/]+)/?/";

// 这个正则限制的不够细致,可以很轻易的绕过:)

...

$RedirectTo[]="page.php?pagealias=\1";

$i=0;

foreach ($RewriteRules as $rule) {

if (preg_match($rule, $rewritedURL)) {

$tmp_rewritedURL=preg_replace($rule, '

$tmp_rewritedURL=@explode('

$rewritedURL=($tmp_rewritedURL[2]) ? false : $tmp_rewritedURL[1];

break;

}

$i+=1;

}

if ($rewritedURL==$rawURL || !$rewritedURL) {

...

$parsedURL=parse_url ($rewritedURL);

// 这里的$parsedURL['query']就是要利用的变量了:)

parse_str($parsedURL['query']);

// 通过这个地方可以覆盖任意变量

include(basename($parsedURL['path']));

// 通过上面的覆盖,可以利用这里包含本地文件,不过用了basename()函数处理:(

这个漏洞不是很复杂,关键说说利用,这里有两个利用点,一个覆盖,一个利用覆盖来包含,虽然用了basename()来限制,但是可以利用data://来执行命令.只是这种方式的利用是有限制的[PHP>5.2.0&allow_url_include=On].不过没关系,还有更好的利用方式

来看下global.php文件:

...

unregister_GLOBALS(); //When register_globals=On

...

function unregister_GLOBALS() { //When register_globals = 'on'

if (!ini_get('register_globals')) { //Already off

return;

}

// Variables that shouldn't be unset

$noUnset = array('_GET', '_POST', '_COOKIE', '_REQUEST', '_SERVER', '_ENV', '_FILES');

$input = array_merge($_GET, $_POST, $_COOKIE, $_SERVER, $_ENV, $_FILES, isset($_SESSION) && is_array($_SESSION) ? $_SESSION : array());

foreach ($input as $k => $v) {

if ($k=='GLOBALS') {

global $kgr;

$kgr=0;

kill_GLOBALS($input[$k]); //GLOBALS is recursive -,-

}

elseif (!in_array($k, $noUnset) && isset($GLOBALS[$k])) {

$GLOBALS[$k]=NULL;

}

}

}

在这里取消了全局变量,但是我们可以通过go.php中的覆盖变量和包含文件来绕过unregister_GLOBALS()的限制,触发变量未初始化漏洞,这将导致xss、sql注射、命令执行等众多严重的安全问题。

weixin_39759060
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(渗透学习)PHP($$)变量覆盖原理分析----变量覆盖漏洞
yang1234567898的博客
12-25 1374
如下代码段: <?php foreach (array("_COOKIE","_POST","_GET") as $_request){ foreach ( $$_request as $key => $value ){ $$key = $value } } ?> 首先将数组("_COOKIE","_POST","_GET")赋给$_request,即 $_request = ("_COOKIE","_POST","_GET") 然后拼接成...
php中$$变量覆盖问题
Kr的博客
09-22 2901
一个小的知识点。。。 这里主要是一个关于$$变量覆盖问题和eval("var_dump($x);");中绕过var_dump造成命令执行漏洞的分析   我将PHP代码写在test.php文件里了 root@kali:/var/www/html# vi test.php 代码内容: &lt;?php $x = $_GET['x']; eval("var_dump($$x);"); ?...
php变量值随机,PHP $ _SESSION变量随机被覆盖
weixin_39550937的博客
03-11 97
好的,当我运行这个脚本从论坛帖子中删除用户的评论时,$ _SESSION ['id'](用户的mysql id)变为$ postid(论坛帖子的ID)。我没有调用任何函数来设置它,并且在会话初始化时调用了session_write_close();。session_start();// I'm not showing connection code.if(isset($_SESSION['user...
php变量覆盖漏洞讲解
weixin_34212189的博客
11-10 369
1.变量没有初始化的问题(1):wooyun连接1:[link href="WooYun: PHPCMS V9 member表内容随意修改漏洞"]tenzy[/link] $updateinfo['password'] = $newpassword;里面的数组没有初始化类似这样的赋值,我们在挖洞的时候搜索类似updateinfo这样的关键字看看 是否初始化,如果没有。。。且register_glo...
php变量覆盖详解,php变量覆盖经验解说续写(两则)
weixin_36141019的博客
03-21 284
php变量覆盖经验解说续写(两则)_Evil (科普是一种公益行为) | 2012-12-09 16:02一:Dedecms变量覆盖新型绕过:一哥也提及到了的:Jannock看留言.请看看文件:include/filter.inc.php引用一哥话语:这是2B的dede再次变量覆盖漏洞根源。。这是过滤或替换非法关键字。正常的。/* 对_GET,_POST,_COOKIE进行过滤 */fore...
BUGKU-代码审计-变量覆盖
地址ch3nye.top
08-13 2023
extract()函数存在变量覆盖漏洞 原理: extract($_GET): $_GET:表示等一下提交变量时,URL 通过 get 的方式传参,传输的数据以数组的形式被封装在$_GET 中。 extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。 file_get_...
SESSION变量覆盖导致SQL注入漏洞
qq_31763129的博客
05-09 1417
include/common.inc.php文件,搜索(大概在68行的样子)   if( strlen($svar)&gt;0 &amp;&amp; preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )      修改为      if( strlen($svar)&gt;0 &amp;&amp; preg_match('#^(cfg...
---------已搬运---------ISCC的反序列化, S 16禁止过滤 * ,反序列化的顺序,session变量覆盖
Zero_Adam的博客
06-01 375
目录:一、当时做,不会做,分析不出来。看WP2. 反序列化的观察1. 分析这个第一块:`$_GLOBAL[]`1. 开始测试:3. 就差那个`*`的转化不懂了。二、学到的:1. 绕过 \00 和 `*`在反序列化中的限制, 一、当时做,不会做,分析不出来。看WP <?php session_start(); ini_set('max_execution_time', '5'); set_time_limit(5); $status = "new"; $cmd = "whoami"; $is_upl
变量覆盖漏洞
heiseweiye的博客
09-18 510
1.extract()变量覆盖 (1)extract()函数能将变量从数组导入当前的符号表,其函数定义如下: extract(array,extract_rules,prefix) (2)该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。第二个参数 type 用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数...
php变量覆盖函数,代码审计--变量覆盖
weixin_39831567的博客
03-19 464
1. 变量覆盖定义变量覆盖指的是可以用我们的传参值替换程序原有的变量值2.风险变量覆盖漏洞有的时候可以直接让我们获取Webshell,拿到服务器的权限3.寻找变量覆盖经常导致变量覆盖漏洞场景有:1.$$使用不当2.extract()函数使用不当,3.parse_str()函数使用不当4.import_request_variables()使用不当,开启了全局变量注册等3.1.经常引发变量覆盖漏...
织梦SESSION变量覆盖导致SQL注入common.inc.php的问题
PHP错误汇总
11-17 115
织梦dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法: 补丁文件:/include/common.inc.php 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变...
boblog任意变量覆盖漏洞(二)
cnbird's blog
05-30 1068
boblog任意变量覆盖漏洞(二) by Ryat[puretot] mail: puretot at gmail dot com team: http://www.80vul.com date: 2011-03-09 先前80vul.com上公布了一个bo-blog漏洞[1],这个漏洞已经被官方修补,但随后wooyun.com上公布了一个绕过补丁的方法[2],可惜触发时有一定的限制,
php session 覆盖吗,php – 安全覆盖超全球$_SESSION?
weixin_28366353的博客
03-28 168
虽然这可行,但我不认为这是明智的行为.在我看来,最少意外的原则适用于编程和用户界面设计.如果你在脚本中覆盖了$_SESSION的默认行为,那将会让一些未来必须处理代码的程序员感到困惑.我认为以这种方式滥用$_SESSION的超全球性质是一种破坏 – 而且是一种不愉快的行为.在我看来,更好的方法是使用静态方法编写一个类来获取和设置数据:class Session {public function g...
parse_str变量覆盖
weixin_38168590的博客
05-09 112
做了ISCC2019的一道web,一道原题,审计代码。 PS:好吧,这个是拿来凑数的,今天上了一天课,算法也学的不咋地,一晚上没写出来凸包和最近对,看来得找个时间补补了。 parse_url是用来取URL的参数值的,就是test.php?XXXXX 问号后边的内容。 可以分析出,肯定有一个参数是action,它的值是auth。 绕过了第一个,接着看。 输出flag的关键是...
代码审计中的一些变量覆盖
T-bag的博客
04-18 648
parese_str() extract()等函数导致的变量覆盖parse_str() 函数把查询字符串解析到变量中。 extract() 函数从数组中将变量导入到当前的符号表。 http://www.w3school.com.cn/php/func_array_extract.asp http://www.w3school.com.cn/php/func_string_parse_s
CTF-代码审计(1)——parse_str()变量覆盖
weixin_30918415的博客
06-03 384
题目连接:http://222.18.158.226:7000/iscc.php 考点:parse_str()变量覆盖 代码: PHP知识点: 1.parse_url() 参照网址:https://www.php.net/manual/zh/function.parse-url.php 2.$_SERVER[] 参考网址:https://php.n...
parse_str函数导致的变量覆盖问题
weixin_43803070的博客
06-08 1380
parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值 源码: 1.<?php 2.error_reporting(0); 3.if (empty($_GET['id...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值