变量覆盖漏洞原理和总结

最新推荐文章于 2024-05-02 10:00:00 发布
最新推荐文章于 2024-05-02 10:00:00 发布
阅读量4.4k 收藏 11
点赞数 2
分类专栏: # 漏洞原理 漏洞分析 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/122527435
版权

前言

哈哈哈,还是看了很多文章感觉都没说到重点,所以就写了一篇。说到变量覆盖这个漏洞,其实就是对我们程序里面的全局变量进行了个覆盖,意思就是说通过我们前端传过来的参数来控制程序里面全局变量的值,一般要发现变量覆盖漏洞,只能是代码审计了,而且一般是出现在支付、登录等等页面里面的,这个漏洞大部分都是配合其他漏洞来进行攻击的。

正文

先说一说有哪些函数可能出现这个漏洞

extract()函数,parse_str()函数,$$,import_request_variables()想这些函数就有可能出现变量覆盖漏洞了,不急我们慢慢一个个解读过去。

一:$$导致的变量覆盖

<?
$id;
if($_GET && $f= 'aaa')
{
foreach($_GET as $falg => $value)
{
$$flag= $value;
}
echo $id;
}
?>

可以看到这个这里用到了双$$,这个是怎么造成变量覆盖的呢,其实是通过这个foreach函数来实现的和$$来配合实现的,我们想说一说这个foreach,这个函数是把我们get过的参数的建名当成变量,建值但是变量所对应的值来传递给程序的,举个例子:www.xxx.com/1.php?id=1,这里它把这个id=1传过来的了,foreach就把这个id=1的id当成变量赋值给$flag,又把1当成值赋值个$value,那么$flag=id,$value=1了,然后又把$value赋值给$$flag,这个$$flag可以看成$($falg),刚刚$flag=id了,那么$$flag就是$id了,然后就把1赋值给了$id,这样就达到了变量覆盖的目的了。

二: 全局变量覆盖

这个肯定就是要说到php的register_global,register_globals的意思是注册为全局变量,所以当等于On的时候,传递过来的值会被直接注册为全局变量而直接使用(比如:/1.php?id=1,直接把id作为全局变量了,而1就当成了id这个全局变量的值了),当等于OFF的时候,就需要到特定的数组中去得到它(意思就是不把他当成全局变量了),下面我们看看源码。

<?php
if ($a){
echo "hello!";
}
?>

可以看到他判断了$a是否存在或者是为1还是0,是的话就输出hello,如果register_globals=on的话,那只要通过get、post等传一个www.xxx.com/1.php?id=1的参数就可以把变量覆盖了,应为上面说了这个register_globals等于On的时候,直接把id作为全局变量了,而1就当成了id这个全局变量的值了,就相当是$id=1。所以会输出hello,这个代码太简单了一般是有一个get[a]或者post[a]等来接收的,这里我只是没写。

<?php  
if (ini_get('register_globals')) 
foreach($_REQUEST as $k=>$v);  
print $id;  
?>

这个代码也是,当register_globals=ON时,再尝试控制“$a”的值www.xxx.xom/1.php?id=1的时候是不行的,应为这里我们没有事先声明这个$id我们只是对这个$id进行了输出,这个逻辑就错了,所以我们可以用一个GLOBALS[a]来覆盖全局变量,这样就成了www.xxx.xom/1.php?GLOBALS[a]=1,用这个相当于事先声明这个$id为全局变量的意思,所以就达到了覆盖了。

三:extract()变量覆盖


<?php
$auth;
extract($_GET);
if($auth==1){
echo "hello!";
}else{
echo "word!";
}
?>

对于PHP extract() 函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量名,键值用于变量值。这个和前面的foreach一眼把get过来的id=1id=1的id当成变量名,1当成值了,所以我们只要传一个?id=0就可以输出word!了,当然前提条件是register_globals=ON,而且当register_globals=OFF时,在调用extract()时也会达到这个效果,所以我们要防止覆盖的话要使用EXTR_SKIP保证已有变量不会被覆盖,如下图所示。

 

四:parse_str()变量覆盖

<?php
parse_str("a=1");
echo $a; 
parse_str("b=1&c=2",$array);
print_r($array);   
?>

这个函数把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量将覆盖已存在的同名变量,第一个parse_str意思就是把这个a=1的a当成变量,1当成值来进行1赋值如果全局有这个变量的话就会赋值,没有也会再定义一个。第二个parse_str是把这个两个变量当成了数组输出到$arry里面,可以看下运行结果

 

五:import_request_variables变量覆盖

import_request_variables 函数可以在 register_global = off 时,把 GET/POST/Cookie 变量导入全局作用域中。

<?php
$a = '0';
import_request_variables('G');
 
if($a == 1){
  echo "hello!";
}else{
  echo "word!";
}
?>

就如字面意思,就直接把输入的当变量并赋值了,比如:www.xxx.com/1.php?a=0,这里就直接把赋值给了$a,所以会输出word!,还有就是import_request_variables 函数里面的’G‘就是代表get传参,’P‘就是代表post传参。

结尾

这个漏洞,黑盒测试是几乎不可能测试的出来的,只能通过代码审计了,而且这个漏洞都要配合其他漏洞来攻击,所以有点难利用,所以在实战中不仅要审计这一个漏洞就够了,最后如果说的有误希望师傅们指出。

yggcwhat
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中的变量覆盖漏洞
m0_64583632的博客
07-12 1007
详细介绍在php中可导致变量覆盖的函数或者因素,解释它们造成的变量覆盖的原因和在CTF中是怎么考查的
变量覆盖漏洞----extract()函数
weixin_33782386的博客
05-27 612
Extract()函数引起的变量覆盖漏洞 该函数使用数组键名作为变量名,使用数组键值作为变量值。但是当变量中有同名的元素时,该函数默认将原有的值给覆盖掉。这就造成了变量覆盖漏洞。 一、我们来查看一串代码:1、文件将get方法传输进来的值通过extrace()函数处理。2、通过两个if语句分别判断是否存在gift变量,和变量gift的值和变量content的值是否相等。变量content的值是通过读...
变量覆盖漏洞原理和代码解析
最新发布
A526847的博客
05-02 797
针对数组中的每个元素,将在当前符号表中创建对应的一个变量变量覆盖漏洞最常见的漏洞点是在做变量注册时没有验证变量是否存在,以及在赋值给变量的时候,所。如果一定要使用前面几种方式注册变量,为了解决变量覆盖的问题,可以再注册变量前先判断变量是否。最重要的一点,自行申明的变量一定要初始化,不然即使注册变。是一种可变变量的写法,它可以使一个普通变量的值作为可变变量的名字,这种类型常常会使用遍历。注册个别变量,可以直接在代码中定义变量,然后再把请求中的值赋值给他们。参数,由该函数设置的变量覆盖已存在的同名变量
parse_str函数导致的变量覆盖问题
weixin_43803070的博客
06-08 1376
parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值 源码: 1.<?php 2.error_reporting(0); 3.if (empty($_GET['id...
渗透之路基础 -- 变量覆盖漏洞
r0cky的博客
09-18 416
变量覆盖注入 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 案例演示 直接上案例可能会更好明白,多看几遍多复现就会明白 假设服务器端正常的查询功能 <?php // $id=...
java解惑:变量(属性)的覆盖
食種之食物
12-23 605
我们来看看这么一道题: class ParentClass { public int i = 10; } public class SubClass extends ParentClass { public int i = 30; public static void main(String[] args) { ParentClass parentClass = new SubClass();
CTF知识总结,写的不错
10-29
- **OPCache**:了解OPCache的工作原理和配置,有助于优化代码执行速度,同时也可能影响漏洞利用。 - **SegmentFault与FastCGI**:SegmentFault错误可能导致内存泄漏,FastCGI协议的细节也可能影响CTF挑战。 3. *...
如何编写缓冲区溢出漏洞
11-23
本文旨在介绍如何理解和识别缓冲区溢出漏洞,并通过一个具体的例子来演示如何触发此类漏洞。请注意,本文的目的是教育性质的,用于学习和防范此类安全问题,而不是鼓励恶意行为。 #### 二、基础知识 ##### 2.1 ...
践踏堆栈攻防总结
02-29
栈溢出的基本原理在于,当一个函数调用时,参数、局部变量和返回地址会被推入堆栈。如果对缓冲区的写入超过了其实际大小,就可能覆盖到堆栈上的其他数据,尤其是返回地址。攻击者可以通过精心构造的输入,使得函数在...
基于符号执行的缓冲区溢出漏洞自动化利用.rar
09-19
二、缓冲区溢出漏洞原理 缓冲区溢出通常发生在程序试图向固定大小的内存区域(缓冲区)写入超过其容量的数据时。当溢出发生,它会覆盖相邻内存区域的数据,包括返回地址,从而可能允许攻击者控制程序执行流程。常见...
C语言源程序的缓冲区溢出漏洞分析及解决方案.pdf
12-26
总结,理解和预防C语言中的缓冲区溢出漏洞是保障软件安全的关键。通过谨慎使用可能存在风险的函数,对用户输入进行严格验证,以及采用现代安全技术,可以显著降低缓冲区溢出的风险,从而提高系统的安全性。
java 变量 覆盖_区分Java的方法覆盖变量覆盖
weixin_42415491的博客
02-15 268
首先,我们看看关于重载,和覆盖(重写)的简明定义:方法重载:如果有两个方法的方法名相同,但参数不一致,哪么可以说一个方法是另一个方法的重载。方法覆盖:如果在子类中定义一个方法,其名称、返回类型及参数签名正好与父类中某个方法的名称、返回类型及参数签名相匹配,那么可以说,子类的方法覆盖了父类的方法我们重点说说覆盖问题,以如下代码为例:public class People {public String...
如何覆盖java应用中的系统变量
zhzh980的博客
04-21 355
D 参数用于设置系统属性。因此,-D 参数覆盖原有的系统属性。例如,使用-Dname=value设置一个系统属性,使用-Dname+=value将值添加到现有的系统属性中。在命令行中使用“-D”选项时,需要指定属性名和属性值,例如“-Dmy.property=value”。需要注意的是,-D属于JVM参数,需要放在jar包或主类之前,放在之后则会失效。覆盖:在使用-jar -D参数时,-D参数将会覆盖原有的参数。追加:如果需要保留原有的系统属性,可以使用-D参数的+=选项。
$$导致的变量覆盖问题
weixin_43803070的博客
06-07 967
话不多说直接上代码: 使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖,变为test。 1.<?php 2.//?name=test 3.//output:string(4) “name” string(4) “test” string(4) ...
php 变量覆盖 ctf,CTF-代码审计(1)——parse_str()变量覆盖
weixin_34801390的博客
03-27 731
题目连接:http://222.18.158.226:7000/iscc.php考点:parse_str()变量覆盖代码:PHP知识点:1.parse_url()参照网址:https://www.php.net/manual/zh/function.parse-url.php2.$_SERVER[]参考网址:https://php.net/manual/zh/reserved.variables....
(渗透学习)PHP($$)变量覆盖原理分析----变量覆盖漏洞
yang1234567898的博客
12-25 1373
如下代码段: <?php foreach (array("_COOKIE","_POST","_GET") as $_request){ foreach ( $$_request as $key => $value ){ $$key = $value } } ?> 首先将数组("_COOKIE","_POST","_GET")赋给$_request,即 $_request = ("_COOKIE","_POST","_GET") 然后拼接成...
变量覆盖漏洞
heiseweiye的博客
09-18 509
1.extract()变量覆盖 (1)extract()函数能将变量从数组导入当前的符号表,其函数定义如下: extract(array,extract_rules,prefix) (2)该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。第二个参数 type 用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数...
Spring boot配置参数覆盖方法
qingdao666666的博客
10-08 2796
1、通过编程方式覆盖属性值:https://code.i-harness.com/en/q/1bb9cf4 2、在编写starter里,可在AutoConfiguration中注入ConfigurableEnvironment environment,并取其中的MutablePropertySources,进行key覆盖。但这个覆盖受starter加载顺序的影响,例如可能会导致Controller中的值是覆盖前的旧值。 3、通过EnvironmentPostProcessor覆盖。https://git
【无标题】PHP-parse_str变量覆盖
asdfaa的博客
04-16 534
变量he值为字符串“Spring”,然后通过parse_str将通过GET方式传递的Moon参数的字符串解析到变量中。由于parse_str存在变量覆盖漏洞,尝试输入?SangFor=he=Moon获得flag。docker-compose.yml文件或者docker tar原始文件。分析代码可知,需要以POST方法传入v1,以GET方法传入v3。访问题目,右键查看源代码,得到提示信息。
shellcode植入的原理覆盖邻接变量攻击的原理
06-11
Shellcode植入是一种利用漏洞将恶意代码注入到目标机器内存中并执行的技术。它的原理是利用程序中存在的漏洞,将恶意代码注入到程序的内存中,并通过改变程序的控制流使其执行恶意代码。通常,Shellcode会利用缓冲区溢出漏洞或格式化字符串漏洞等来实现注入。 覆盖邻接变量攻击则是一种利用缓冲区溢出漏洞的攻击方法。它的原理是在程序中寻找一个可控的缓冲区,并向其中输入比缓冲区长度更长的数据,导致数据溢出并覆盖掉邻接的变量,从而改变程序的执行流程。攻击者可以通过覆盖邻接变量来修改程序的内存数据,执行任意代码或者拒绝服务等攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值