parse_str函数导致的变量覆盖问题

最新推荐文章于 2022-01-16 19:39:35 发布
最新推荐文章于 2022-01-16 19:39:35 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: PHP代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43803070/article/details/91308140
版权

parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量将覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值

源码:

    1.<?php

    2.error_reporting(0);

    3.if (empty($_GET['id'])) {

    4.    show_source(__FILE__);

    5.    die();

    6.} else {

    7.    include (‘flag.php’);

    8.    $a = “www.OPENCTF.com”;

    9.    $id = $_GET['id'];

    10.    @parse_str($id);

    11.    if ($a[0] != ‘QNKCDZO’ && md5($a[0]) == md5(‘QNKCDZO’)) {

    12.        echo $flag;

    13.    } else {

    14.        exit(‘其实很简单其实并不难!’);

    15.    }

    16.}

    17.?> 


1、 error_reporting()函数规定不同级别错误,这里为关闭错误报告

2、 show_source()函数,别名highlight_file()高亮显示文件。

3、 empty()函数姜茶一个变量是否为空,所以动我们发送请求的时候一定带有id参数

4、 include(‘flag.php’)调用flag.php文件,应该就是存放flag的文件

5、 @parse_str($id)把查询字符串解析到变量中,没有使用array选项,若有同名变量,将原来的覆盖。这里明显将原来的$a的值给覆盖掉。

6、 $a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')判断$a[0]的值不是QNKCDZO并且$a[0]的MD5值要和QNKCDZO的MD5值相同。我们知道很难找出这样的字符串

二、构造我们的payload

整体源码已经分析过了,现在唯一要做的就是需要找出字符串不同,但MD5值相同的值。这很难找出。这个时候可以利用php处理MD5哈希字符串的缺陷进行处理。
题目这里给出的QNKCDZO的MD5值为:0e830400451993494058024219903391。经过php处理后会认为0*10^n。所以结果为零。

所以,我们可以找到字符串MD5加密后结果开头为0e的即可。所以我们的payload为
?id=a[]=s878926199a(s878926199a的MD5值为0e开头的字符串)。关于md5的一些加密字符串请看:
MD5值为0e开头的字符串

暮秋初九
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php 变量覆盖 ctf,CTF-代码审计(1)——parse_str()变量覆盖
weixin_34801390的博客
03-27 722
题目连接:http://222.18.158.226:7000/iscc.php考点:parse_str()变量覆盖代码:PHP知识点:1.parse_url()参照网址:https://www.php.net/manual/zh/function.parse-url.php2.$_SERVER[]参考网址:https://php.net/manual/zh/reserved.variables....
php parse_str() 函数的定义和用法
12-19
parse_str() 函数把查询字符串解析到变量中。 注释:如果未设置 array 参数,则由该函数设置的变量覆盖已存在的同名变量。 注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 ...
parse_str函数变量覆盖缺陷
烟敛寒林的博客
05-09 901
理论 parse_str函数的作用就是解析字符串并注册成变量,在注册变量之前不会验证当前变量是否存在,所以直接覆盖掉已有变量。 void parse_str ( string $str [, array &$arr ] ) str 输入的字符串。 arr 如果设置了第二个变量 arr,变量将会以数组元素的形式存入到这个数组,作为替代。 实践 测试代码: <?php ...
php变量覆盖,变量覆盖漏洞----parse_str()函数
weixin_42405371的博客
03-10 555
Parse_str()函数引起的变量覆盖漏洞parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值一、分析题目源码:1、 error_reporting()函数规定不同级别错误,这里为关闭错误报告2、 ...
parse_str 的使用注意事项
10-19 435
刚刚解决了一个问题跟大家分享下。(parse_str 的长度问题。) 错误如下: Fatal error: parse_str(): Input variables exceeded 100. To increase the limit change max_input_vars in php.ini. in /data/wwwroot/v/ask_main_test_last.php on
php——parse_str避坑(点分隔会解析为下划线)
Don't lost way
04-14 459
用过php的人一般都知道parse_str是把查询字符串解析为变量函数,如果给了第二个参数,就会把解析结果放到第二个变量中。 最近在使用parse_str的时候遇到一个大坑,就是在解析的时候把点分隔的键名转换为了下划线。 举例: a=1&b=2 能正常解析为数组 array ( ‘a’ => ‘1’, ‘b’ => ‘2’, ) 如果是 a.b=1&c.d=2则会解析为 array ( ‘a_b’ => ‘1’, ‘c_d’ => ‘2’, ) ...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 全局变量覆盖 extarct()变量覆盖 遍历初始化变量 ...
第53天:代码审计-TP5框架及无框架变量覆盖反序列化1
08-03
`extract()`, `parse_str()`, `import_request_variables()`, `$$`等可能导致变量覆盖,攻击者可以通过设置特定请求参数改变内部变量的值。建议限制这些函数的使用,或者确保变量命名空间的隔离。 8. **反序列化...
浅析51个PHP处理字符串的函数
10-27
19. `parse_str()`:解析查询字符串并将其转化为PHP变量,常用于处理GET请求。 20. `print()`:输出一个字符串,与`echo`类似,但返回的是布尔值而非实际输出。 21. `printf()`:格式化输出字符串,支持变量占位符...
如何使用PHP中的字符串函数
02-17
parse_str(\"a=1&b=2\"); 生成a与b两个变量,值分别为1,2. 如果有两对名字/值的名字部分相同,则后一个的值覆盖前一个的. 如果这两对的名字尾部都有\"[]\",例如\"a[]=1&a[]=2\",则生成数组a,两个元素分别为1,2
变量覆盖漏洞原理和总结
yggcwhat
01-16 4372
前言 哈哈哈,还是看了很多文章感觉都没说到重点,所以就写了一篇。说到变量覆盖这个漏洞,其实就是对我们程序里面的全局变量进行了个覆盖,意思就是说通过我们前端传过来的参数来控制程序里面全局变量的值,一般要发现变量覆盖漏洞,只能是代码审计了,而且一般是出现在支付、登录等等页面里面的,这个漏洞大部分都是配合其他漏洞来进行攻击的。 正文 先说一说有哪些函数可能出现这个漏洞 extract()函数parse_str()函数,$$,import_request_variables()想这些函数就有可能出现变量
变量覆盖漏洞----parse_str()函数
weixin_33672109的博客
05-28 895
Parse_str()函数引起的变量覆盖漏洞 parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值 一、分析题目源码: 1、 error_reporting()函数规定不同级别错误,这里为关闭错误报...
CTF-代码审计(1)——parse_str()变量覆盖
weixin_30918415的博客
06-03 378
题目连接:http://222.18.158.226:7000/iscc.php 考点:parse_str()变量覆盖 代码: PHP知识点: 1.parse_url() 参照网址:https://www.php.net/manual/zh/function.parse-url.php 2.$_SERVER[] 参考网址:https://php.n...
变量覆盖漏洞
Jim的博客
08-17 3243
变量覆盖指的是可以用我们自定义的参数值替换程序原有的变量值 经常引发变量覆盖漏洞的函数有:extract(),parse_str()和import_request_variables()函数 一、使用函数不当 1.extract()函数函数有三种情况会覆盖掉已有变量: 第一种情况是第二个参数为EXTR_OVERWRITE, 表示如果有冲突,则覆盖已有的变量。 第二种情况是只传入第一
parse_url 和parse_str
逍遥侯之水流云的博客
08-01 615
在对U函数进行解析之前,先对两个函数进行讲解一下。parse_url 和parse_strparse_url  对url进行解析并返回数组 $url="http://www.baiud.com/show/room?id=1"; $arr=parse_url($url); var_dump($arr); Array ( [scheme] => http
parse str php ctf,CTF-代码审计(1)——parse_str()变量覆盖
weixin_31830389的博客
03-25 278
题目连接:http://222.18.158.226:7000/iscc.php考点:parse_str()变量覆盖代码: PHP知识点:1.parse_url()参照网址:https://www.php.net/manual/zh/function.parse-url.php 2.$_SERVER[]参考网址:https://php.net/manual/zh/reserved.variabl...
PHP代码审计————9、 PHP代码审计之变量覆盖
Fly_鹏程万里
05-16 470
变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。经常导致变量覆盖漏洞场景有:$$,extract()函数parse_str()函数,import_request_variables()使用不当,开启了全局变量注册等。0×01 全局变量覆盖  register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被...
PHP字符串函数parse_str(将字符串解析成多个变量)
ztnhnr的专栏
08-10 1235
在PHP中,字符串函数 parse_str() 将字符串解析成多个变量函数语法: parse_str(string$encoded_string[,array&$result]):void 函数参数说明: 参数 描述 encoded_string 必需。规定要解析的字符串。 result 可选。规定存储变量的数组名称。该参数指示变量存储到数组中。 parse_str() 函数将字符串解析成多个变量。如果en...
pps_decoder_parse_pps_str
最新发布
06-02
`pps_decoder_parse_pps_str` 函数不是标准 C 函数,它可能是某个特定库或框架中的函数。 根据函数名可以看出,它的作用可能是解析 PPS(Picture Parameter Set)字符串。在视频编解码中,PPS 是视频序列中的一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值