$$导致的变量覆盖问题

话不多说直接上代码：
使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖，变为test。

    1.<?php

    2.//?name=test

    3.//output:string(4) “name” string(4) “test” string(4) “test” test

    4.$name=’thinking’;

    5.foreach ($_GET as $key => $value)

    6.    $$key = $value;

    7.    var_dump($key);

    8.    var_dump($value);

    9.    var_dump($$key);

    10.echo $name;

    11.?>

CTF中$$导致的变量覆盖问题的例题1：
题目源码：

    1.<?php

    2.include “flag.php”;

    3.$_403 = “Access Denied”;

    4.$_200 = “Welcome Admin”;

    5.if ($_SERVER["REQUEST_METHOD"] != “POST”)

    6.    die(“BugsBunnyCTF is here :p…”);

    7.if ( !isset($_POST["flag"]) )

    8.    die($_403);

    9.foreach ($_GET as $key => $value)

    10.    $$key = $$value;

    11.foreach ($_POST as $key => $value)

    12.    $$key = $value;

    13.if ( $_POST["flag"] !== $flag )

    14.    die($_403);

    15.echo “This is your flag : “. $flag . “\n”;

    16.die($_200);

    17.?>

代码分析：
1、Include 调用了flag.php文件
2、_200,_403 定义两个参数，以及参数值。
3、接着是两个判断语句，判断访问页面的方法是否为post方法和有没有参数flag。
4、再接着两个foreach函数遍历数组函数，这里就是把我们用get方法传输的数据当做数组进行遍历，并将遍历的参数赋值给key，将参数值复制给value。
5、还有一个if判断语句，判断用post方法传输的数据是不是和$flag的值相同，如果相同，输出flag。
6、最后输出$200的内容。
二、从源码文件中可以看出，要想获得flag，你必须知道原来的flag，那是不可能的。
这个时候我们就可以利用变量覆盖漏洞。
1、我们可以看到在第一个数组

foreach ($_GET as $key => $value)
$$key = $$value

这个遍历中出现$$key = $$value，这里将键和值又当做变量来使用。就这个题目来说，我们用get方法传递：_200=flag,经过$$key = $$value的处理后，就会变为$_200=$flag，这样就会将原来的$_200的值覆盖掉，换成$flag的值
3、第二个数组遍历

foreach ($_POST as $key => $value)
    $$key = $value;

这个遍历中出现$$key = $value，这里将只是将数组键当做下一个变量，将数组的值当做这个$$key的值。例如post方法传入flag=abc，则处理后变成$flag=abc。这样就造成将我们需要获取的flag的值给覆盖掉了。

三、通过多重分析，我们可先将$flag的值通过第一个数组遍历赋值给$_200,然后通过die($_200)输出出来，不过同时我们应该满足源码的判断条件，通过post方法传递flag的值。这里我们已经将flag的值给了$_200所以不用再担心将flag的值覆盖掉（即使覆盖掉了我们输出的是_200的值），可以随便输入。

四、所以我们的payload是：
Get方法传输：?_200=flag
Post方法传输：flag=abcde