php extract 变量覆盖,跟着crownless学Web之strcmp、extract变量覆盖

最新推荐文章于 2023-11-27 22:50:49 发布
最新推荐文章于 2023-11-27 22:50:49 发布
阅读量239 收藏 1
点赞数
文章标签: php extract 变量覆盖

原标题:跟着crownless学Web之strcmp、extract变量覆盖

bc23649790398e5f60b68558c5494ab6.png

简介:

本文由Web安全版块的新版主crownless原创讲解。下文将以CTF赛题讲解的形式为大家介绍一系列的Web基础知识,讲解的顺序将是循序渐进,因此不需要读者有任何基础知识。希望能吸引更多人关注看雪的Web安全版块,为版块增加人气和活力。

本篇为『跟着crownless学Web系列』的第三和第四部分,建议没有了解前两部分的同学可以先了解学习前面两部分的内容,具体学习入口见下:

e32e98fa9a30abf4a7f666d2b7dc64a3.png

点击即可阅读:

跟着crownless学Web之(1)神奇的计算器

跟着crownless学Web之(2)calc2

跟着crownless学Web之(3)

在这篇文章中,你将学到:

php isset函数

php strcmp函数

php die函数

话不多说,让我们开始吧。首先打开这次的CTF赛题网站:

http://139.224.220.67:23900/dmsj/level0/

你会发现一片空白,网页的源代码也为空。这里,我提供php后端的源代码供你审计:

$flag = "flag{xxxxx}";

if(isset($_GET['a'])) {

if(strcmp($_GET['a'], $flag) == 0)

die('Flag: '.$flag);

else

print'No';

}

?>

首先,flag变量被设置为flag{xxxxx}。当然,这是一个假的flag,真实运行的后端中的flag变量才是真的flag,需要我们去夺取。

接着,isset函数判断HTTP GET请求中的参数a是否已设置并且非NULL。strcmp函数将a参数与flag相比较,如果一致,则调用die函数。die函数的作用是打印die函数的参数,并立即停止该php后端的运行。那么我们的目标很明显,就是要让php执行到die函数,让flag显示出来。

那么我们怎么给php后端传参呢?在第一篇教程中,我们可以通过在输入框中输入内容并点击提交按钮,由浏览器帮助我们自动传参。现在,我们必须要手动传参了。其实也很简单,只要访问http://139.224.220.67:23900/dmsj/level0/?a=123即可给a参数传入123。

接下来难题来了,你根本不知道flag是什么,又怎么让strcmp函数返回0,即比较相等呢?

查看strcmp的介绍页面,我们可以发现下方有一条注释:

If you rely on strcmp for safe string comparisons, both parameters must be strings, the result is otherwise extremely unpredictable.

即,如果我们给strcmp传入非字符串的参数,那么结果是非常未知的。

下面还给出了一些例子:

strcmp( "5", 5) => 0

strcmp( "15", 0xf) => 0

strcmp( 61529519452809720693702583126814, 61529519452809720000000000000000) => 0

strcmp( NULL, false) => 0

strcmp( NULL, "") => 0

strcmp( NULL, 0) => -1

strcmp( false, -1) => -2

strcmp( "15", NULL) => 2

strcmp( NULL, "foo") => -3

strcmp( "foo", NULL) => 3

strcmp( "foo", false) => 3

strcmp( "foo", 0) => 1

strcmp( "foo", 5) => 1

strcmp( "foo", array()) => NULL+ PHP Warning

strcmp( "foo", newstdClass) => NULL+ PHP Warning

strcmp( function(){}, "") => NULL+ PHP Warning

怎么样,是不是让人大开眼界呢?这就是“世界上最好的语言”——php。

事实上,我们可以给a参数传入一个数组。比如,如果我们访问:

http://139.224.220.67:23900/dmsj/level0/?a[0]=123

那么我们就相当于给a参数传入了一个数组,该数组的第0个元素是123字符串。

试试看访问:

http://139.224.220.67:23900/dmsj/level0/?a[0]=123

你会惊喜地发现打印出了flag。当php将一个数组变量和一个字符串进行比较时会意外地返回0,即相等,是不是很让人惊讶呢?

好了,以上就是『跟着crownless学Web』的第三部分内容。

接下来,一起进入第四部分的学习吧~

跟着crownless学Web之(4)

在这篇文章中,你将学到:

php extract函数

php trim函数

php file_get_contents函数

php伪协议data://

话不多说,让我们开始吧。首先打开这次的CTF赛题网站:

http://139.224.220.67:23900/dmsj/level2/

你会发现一片空白,网页的源代码也为空。这里,我提供php后端的源代码供你审计:

$flag='xxx';

extract($_GET);

if(isset($sixstars)) {

$content=trim(file_get_contents($flag));

if($sixstars==$content) {

echo'flag{xxx}';

} else{

echo'Oh.no';

}

}

?>

首先,flag变量被设置为'xxx',一个简单的字符串。

接着,后端运行了extract函数,从$_GET数组中将变量导入到当前的符号表。什么意思呢?其实很简单。比如如果我们访问了:

http://139.224.220.67:23900/dmsj/level2/?sixstars=1

那么$_GET["sixstars"]的值为字符串1。执行extract($_GET);时,就相当于执行了$sixstars='1'。

然后,程序将会执行isset($sixstars)。我们看到,为了获取flag,必须执行到echo 'flag{xxx}';,所以isset($sixstars)的返回值必须为TRUE。

所以,我们必须通过extract($_GET);将sixstars变量设置为任意值,即使是空字符串也可以。

也就是说,即使访问:

http://139.224.220.67:23900/dmsj/level2/?sixstars=

也是可以的。但绝对不能不包含sixstars参数。

接着,程序将会执行$content=trim(file_get_contents($flag));。我们分步看。首先会执行file_get_contents($flag)。正常情况下,如果你不通过URL传入flag参数,那么,因为程序的最开始已经执行过$flag='xxx';,所以到了这里将会执行file_get_contents('xxx')。

file_get_contents函数可以“将整个文件读入一个字符串”。

比如如下代码可以将http://www.example.com/网站的源代码读取到homepage变量中并显示出来。

$homepage = file_get_contents('http://www.example.com/');

echo$homepage;

?>

接着,php又会执行trim函数,它将会“去除字符串首尾处的空白字符(或者其他字符)”。

最后,php将会执行if ($sixstars==$content),如果为TRUE,那么将会显示flag。

读到这里,你想必已经知道了我们该怎么做:首先,给sixstars变量传入一个值,比如1。然后,给flag变量传入一个我们能控制的网站的地址,并让这个我们能控制的网站的源代码设置为1。由于extract能起到“变量覆盖”的作用,在extract后,flag变量就会被覆盖为我们能控制的网站的地址,而不再是'xxx',这样当执行到file_get_contents时php后端将会从我们能控制的网站上读取到1,并将其和sixstars变量比较,并返回TRUE,然后就能打印flag。

虽然这个方法是可行的,但是今天我要教你一个更简单的方法,那就是php伪协议。我们可以直接给flag变量传入data://text/plain,1。意思是明文1。

这样file_get_contents('data://text/plain,1')将会直接返回1,就不需要我们在公网上开一台服务器了。

所以,最后我们的payload是:

http:/ /139.224.220.67:23900/dmsj/level2/?sixstars= 1&flag= data:/ /text/plain, 1

这里再强调一下,给后端传参的方法是:在?后跟变量名字,不同的变量之间用&隔开。

关于伪协议,我们以后有机会还会碰到。请大家继续关注看雪Web安全板块crownless的CTF赛题讲解。

46d77f101f1e36aaaacd54ac785371c7.png

作者:周信安

看雪ID:crownless,毕业于复旦大学软件工程专业,看雪WEB安全版块 新版主,研究方向为WEB安全、Android、系统安全。

个人博客地址:

https://zhouxinan.github.io

- End -

9ea79ecbc95a49228e7725c9e4407188.png

看雪ID:crownless

https://bbs.pediy.com/user-833800.htm

本文由看雪论坛 crownless原创

转载请注明来自看雪社区

热门图书推荐:

戳立即购买!

责任编辑:

Jeckaijew
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第二题点评及解题思路——变形金刚1
08-03
看雪CTF crownless 评委 点评《变形金钢》这道题主要涉及两方面的知识点:Android应用基础和最基础的加解密、编码,考验了参赛者的开发、逆向、算法
[单选题]下面的代码将返回:
weixin_30533797的博客
03-24 158
extract( array( 'sexy' => 'a', 'and' => 'b', 'i' => 'c', 'know' => 'd', 'it' => 'e' ) ); return $sexy.$and.$i.$know.$it; true abcde Notice: Undefined variable...
bugku strcmp比较字符串
qq_42777804的博客
08-05 497
<?php $flag = "flag{xxxxx}"; if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag: '.$flag); el...
php extract 变量覆盖,extract变量覆盖
weixin_33273250的博客
03-10 929
Bugkuctf题库中的一道代码审计题,通过巧妙利用file_get_contents函数特性来绕过extract变量覆盖源代码如下:12345678910111213141516
PHP数组函数extract 使用详解
lxw1844912514的博客
04-21 1059
extract—从数组中将变量导入到当前的符号表 说明 extract(array&$array,int$flags=EXTR_OVERWRITE,string$prefix= ""):int 本函数用来将变量从数组中导入到当前的符号表中。 检查每个键名看是否可以作为一个合法的变量名,同时也检查和符号表中已有的变量名的冲突。 警告 不要对不可信的数据使用extract(),类似用户输入 (例如$_GET、$_FILES)。 参数 array 一个关联数组...
PHP弱类型及绕过方式(一)
qidiandexiaowu
05-03 1906
前言:长带着我们习了一些PHP弱类型,现在总结记一下。 目录: 0×01.extract函数变量覆盖 0×02.strcmp函数数组漏洞 0×03.urldecode二次密码绕过 0×04.md5函数加密 0×05.数组返回NULL绕过 0×06.弱类型整数大小比较绕过 0×07.sha()函数比较绕过 ...
php变量覆盖漏洞前提,PHP中的变量覆盖漏洞深入解析
weixin_36282704的博客
03-25 324
1.extract()变量覆盖1.extract()extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数返回成功设置的变量数目。extract(array,extract_rules,prefix)参考引用:https://www.runoob.com/php/func-ar...
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4363
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
PHP中的extract函数的用途 extract($_GET);extract($_POST)
weixin_30613727的博客
12-24 1613
把客户端表单中的变量名取出来 addslashes -- 使用反斜线引用字符串 extract(addslashes($_POST)); --处理POST表单 把客户端<FORM METHOD="POST"...>表单中的变量名取出来。 extract(addslashes($_GET)); --处理GET表单 把客户端<FORM METHOD="GET"...&g...
PHP基础知识点】extract处理$_POST和$_GET数组的作用
JasonAPoint的博客
12-29 6285
extract处理$_POST和$_GET数组的作用
php 函数用法 extract()
qq_40162483的博客
05-01 384
extract() 函数 用于将一个数组内的值   赋予给它的键变量   在做一些配置时很有用  不需要在给键设置为变量再赋值,
Bugku-代码审计-extract变量覆盖
多崎巡礼的博客
08-23 1780
代码审计|变量覆盖漏洞 0×00 背景 近期在研究变量覆盖漏洞的问题,于是就把之前习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究。  通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开...
PHP代码审计系列(二)
tpaer的博客
12-06 653
本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
bugku ctf 代码审计 extract变量覆盖
qq_42777804的博客
05-21 2544
<?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> extract() 函数从数组中将变量导入到当...
BugKuCTF------代码审计模块
qq_42133828的博客
03-20 1254
1.extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 分析代码可得知,ex...
PHP变量问题
m0_62422842的博客
04-08 3527
php变量问题是php代码审计中的一部分,相对php反序列化来说较为简单。再此总结一下这类相关内容
ctf php正则截断,BugkuCTF—代码审计—WriteUp(持续更新)
weixin_29628635的博客
03-17 469
BugkuCTF—代码审计—WriteUp(持续更新)extract变量覆盖首先分析下代码:extract函数:image.png[http://123.206.87.240:9009/1.php](http://123.206.87.240:9009/1.php)$flag='xxx';extract($_GET);if(isset($shiyan)) //shiyan这个变量不能为空{$co...
php 号码分段,PHP代码审计分段讲解(1)
weixin_39885690的博客
03-22 210
PHP代码审计分段讲解(1)PHP源码来自:https://github.com/bowu678/php_bugs快乐的暑期习生活+101 extract变量覆盖$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'ctf{x...
file_get_contents() 函数详解与使用
最新发布
wangxuanyang_zer的博客
11-27 6892
file_get_contents() 函数是 PHP 中一个功能丰富、易于使用的函数,可以用于文件操作和发起 HTTP 请求。通过深入理解该函数的使用方法,我们可以更高效地处理文件读取和远程资源获取任务。同时,使用上下文选项和其他相关函数,可以使 file_get_contents() 更加灵活和强大。在实际应用中,根据需求的不同,我们可以选择合适的方式来充分发挥其优势,提高代码的可维护性和效率。两个字 🐮 🍺 各位大佬来个三连支持一下。
变量覆盖漏洞原理和总结
yggcwhat
01-16 4372
前言 哈哈哈,还是看了很多文章感觉都没说到重点,所以就写了一篇。说到变量覆盖这个漏洞,其实就是对我们程序里面的全局变量进行了个覆盖,意思就是说通过我们前端传过来的参数来控制程序里面全局变量的值,一般要发现变量覆盖漏洞,只能是代码审计了,而且一般是出现在支付、登录等等页面里面的,这个漏洞大部分都是配合其他漏洞来进行攻击的。 正文 先说一说有哪些函数可能出现这个漏洞 extract()函数,parse_str()函数,$$,import_request_variables()想这些函数就有可能出现变量

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值