变量覆盖漏洞

变量覆盖

1、简介

变量覆盖指的是用我们自定义的参数值去替换程序原有的变量值，一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击
变量覆盖产生原因大多是由函数使用不当导致的

2、常见的变量覆盖的函数

1.extract()

extract(array,extract_rules,prefix)

参数	描述
array	必需。规定要使用的输入。
extract_rules (可选)	extract() 函数将检查每个键名是否为合法的变量名，同时也检查和符号表中的变量名是否冲突。对非法、数字和冲突的键名的处理将根据此参数决定。可以是以下值之一： * EXTR_OVERWRITE - 默认。如果有冲突，则覆盖已有的变量。 * EXTR_SKIP - 如果有冲突，不覆盖已有的变量。（忽略数组中同名的元素） * EXTR_PREFIX_SAME - 如果有冲突，在变量名前加上前缀 prefix。自 PHP 4.0.5 起，这也包括了对数字索引的处理。 * EXTR_PREFIX_ALL - 给所有变量名加上前缀 prefix（第三个参数）。 * EXTR_PREFIX_INVALID - 仅在非法或数字变量名前加上前缀 prefix。本标记是 PHP 4.0.5 新加的。 * EXTR_IF_EXISTS - 仅在当前符号表中已有同名变量时，覆盖它们的值。其它的都不处理。可以用在已经定义了一组合法的变量，然后要从一个数组例如 $_REQUEST 中提取值覆盖这些变量的场合。本标记是 PHP 4.2.0 新加的。 * EXTR_PREFIX_IF_EXISTS - 仅在当前符号表中已有同名变量时，建立附加了前缀的变量名，其它的都不处理。本标记是 PHP 4.2.0 新加的。 * EXTR_REFS - 将变量作为引用提取。这有力地表明了导入的变量仍然引用了 var_array 参数的值。可以单独使用这个标志或者在 extract_type 中用 OR 与其它任何标志结合使用。本标记是 PHP 4.3.0 新加的。
prefix(可选)	请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME，EXTR_PREFIX_ALL，EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名，将不会导入到符号表中。前缀和数组键名之间会自动加上一个下划线。

从以上说明我们可以看到第一个参数是必须的，会不会导致变量覆盖漏洞由第二个参数决定的。具体函数利用见下：

<?php
$a = 1;    //原变量值为1
$b = array('a' => '3');
extract($b);    //经过extract()函数对$b处理后
echo $a;    //输出结果为3
?>

上图

2. parse_str()

parse_str函数的作用就是解析字符串并注册成变量，在注册变量之前不会验证当前变量是否存在，所以直接覆盖掉已有变量

void parse_str ( string $str [, array &$arr ] )
参数：
str：输入的字符串
arr  如果设置了第二个变量 arr，变量将会以数组元素的形式存入到这个数组，作为替代。

实例如下：

<?php
$a = 1;    //原变量值为1
parse_str('a=2');   //经过parse_str()函数后注册变量$a，重新赋值
print_r($a);  //输出结果为2
?>

上图

3. import_request_variables()

import_request_variables()函数就是把GET、POST、COOKIE的参数注册成变量，用在register_globals被禁止的时候

import_request_variables (string $types [,string $prefix])
参数：
$type代表要注册的变量，G代表GET，P代表POST，C代表COOKIE
第二个参数为要注册变量的前缀

3.全局变量覆盖

register_globals的意思是注册为全局变量，所以当On的时候，传递过来的值(传递方式：get、post、cookie)会被直接注册为全局变量而直接使用，当为OFF的时候，就需要到特定的数组中去得到它。

4.遍历初始化变量

常见的一些以遍历的方式释放变量的代码，可能会导致变量覆盖。
在代码审计时需要注意类似“$$k”的变量赋值方式有可能覆盖已有的变量，从而导致一些不可控制的结果。