变量覆盖一般由这四个函数引起

<?php

$b=3;

$a = array('b' => '1' );

extract($a,EXTR_OVERWRITE);

print_r($b);

//extract 有三种形式可能导致变量覆盖,第一种是第二个参数为EXTR_OVERWRITE,他表示如果有冲突,覆盖原有的变量。第二种情况是只传入第一个参数,默认为EXTR_OVERWRITE模式,第三种是第二个参数为EXTR_IF_EXISTS,他表示在当前符号表中已有同名变量时,覆盖它们的值,其他的都不注册新变量.

//关键字:extract,EXTR_OVERWRITE

//参考漏洞:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-096990.html

?>

  

<?php

$b=3;

parse_str('b=2');

print_r($b);

//parse_str()的作用是解析注册成变量的字符串,第二个参数$arr是一个数组

//关键字:parse_str()

//

?>

  这个parse_str()函数 会自动对url解码,然后以&为分割符,然后对变量进行注册。

<?php

$b=3;

import_request_variables('GP');

print_r($b);

//import_request_variables()作用是把GET,POST,COOKIE的参数注册成变量,用在register_globals被禁用的时候,需要PHP在4.1到5.4之间的版本。

//关键字:import_request_variables

?>

  

<?php

$b=3;

foreach (array('_COOKIE','_POST','_GET') as $_REQUEST) {

	foreach ($$_REQUEST as $_key => $_value) {

		echo $_key.'<br />';

		$$_key=addcslashes($_value);

	}

}

echo $b;

//$$变量覆盖

//关键字: $$

?>

  

对于核心文件,早期的cms一般会有这样的GPC声明

if (0 < count($_COOKIE)) {

	foreach ($_COOKIE as $s_key => $s_value ) {

		$_COOKIE[$s_key] = addslashes(strip_tags($s_value));

		$$s_key = $_COOKIE[$s_key];

	}

	reset($_COOKIE);

}

(1)$$导致变量覆盖,这时候我们只要找出变量没有未初始声明,就进入sql查询或者include包含文件中,就会产生漏洞。
(2)变量函数(变量1,变量2);由于开启全局注册,又post被extract,导致变量覆盖,变量作为函数执行,最终形成代码执行。
(3)变量在if中声明的,如果不经过if的话,变量算是没有声明的,就可以进行变量覆盖。
(4)etc

以下是这几天看的比较经典的漏洞,从excel复制出来的

wooyun-2016-0168661 通达OA 2015多处漏洞合集 全局变量覆盖
wooyun-2015-0131548 phpcms一个函数引起的安全漏洞 parse_str变量覆盖二次解码导致注入
wooyun-2015-0126295 MetInfo最新版SQL注入一枚 没有单引号包裹,并且变量覆盖
wooyun-2015-095672 ThinkSNS任意代码执行漏洞 变量覆盖后有个include 变量,导致extract覆盖include 变量
wooyun-2014-088251 从ThinkPHP谈基于框架开发程序的安全性 变量覆盖后有个include 变量,导致extract覆盖include的变量
wooyun-2014-080524 齐博地方门户鸡肋文件包含造成的高危SQL注入 前台文件包含,包含存在extract的get变量并且require_once不在包含全局应用,造成变量覆盖
wooyun-2011-01732 mvmmall网店商城系统注入漏洞 变量在if中声明的,如果不经过if的话,变量算是没有声明的,就可以进行变量覆盖
wooyun-2013-017119 PhpcmsV9 任意用户密码修改逻辑漏洞 没看懂
wooyun-2013-023501 phpshe不花钱直接完成订单支付! 变量覆盖订单参数的状态
wooyun-2013-023693 ACFUN分站再次GETSHELL变量覆盖漏洞分析与利用 变量作为函数执行,变量函数(变量1,变量2),由于开启全局注册,又post被extract,导致变量覆盖
wooyun-2013-039281 Destoon最新全版本通杀SQL注入漏洞 诠释了require

												


											
php代码审计之变量覆盖的更多相关文章
	

    
						
  1. PHP代码审计笔记--变量覆盖漏洞
		
    变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击. 经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数, ...
    
		
    2. 
						
  2. 2020/2/1 PHP代码审计之变量覆盖漏洞
		
    0x00 变量覆盖简介 变量覆盖是指变量未被初始化,我们自定义的参数值可以替换程序原有的变量值. 0x01 漏洞危害 通常结合程序的其他漏洞实现完整的攻击,比如文件上传页面,覆盖掉原来白名单的列表,导 ...
    
		
    3. 
								
  3. CTF——代码审计之变量覆盖漏洞writeup【2】
		
    题目: 基础: 所需基础知识见变量覆盖漏洞[1]  分析: 现在的$a=’hi’,而下面的函数需满足$a=’jaivy’才可以输出flag,那么需要做的事就是想办法覆盖掉$a原来的值. 那么出现的提示 ...
    
		
    4. 
						
  4. CTF——代码审计之变量覆盖漏洞writeup【1】
		
    题目: 所需基础知识: 分析: 思路:由于目的是要拿$flag的值,所以可以得出最终会输出两个变量,而$flag的值在红框那行,被我们自己post的值给覆盖,所以flag值肯定不会在这出来,那么只剩下 ...
    
		
    5. 
						
  5. 代码审计-extract变量覆盖
		
    <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag));  ...
    
		
    6. 
						
  6. PHP代码审计3-SQL注入,CSRF,动态函数执行与匿名函数执行,unserialize 反序列化漏洞,变量覆盖,文件管理,文件上传
		
    SQL注入 审计语句 [输入参数] SELECT,DELETE,UPDATE,INSERT 防御 转义: 1.开启gpc:判断解析用户提示的数据 2.mysql_real_escape_string( ...
    
		
    7. 
						
  7. 代码审计-MetInfo CMS变量覆盖漏洞
		
    0x01 代码分析 安装好后是这样的 漏洞文件地址\include\common.inc.php 首先是在这个文件发现存在变量覆盖的漏洞 foreach(array('_COOKIE', '_POST ...
    
		
    8. 
						
  8. PHP代码审计理解(一)----Metinfo5.0变量覆盖
		
    0x01 漏洞简介 这个漏洞是metinfo5.0变量覆盖漏洞,并且需要结合文件包含.我使用的cms版本是5.3,事实上已经修复了这个漏洞(5.0的cms源码已经找不到了哈),但是我们可以借他来学习理 ...
    
		
    9. 
						
  9. [fortify] 变量覆盖漏洞
		
    一.全局变量覆盖当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单,Cookie等. <?php echo "Register_globals: & ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. js版九宫格拼图与启发式搜索(A*算法)
			
    九宫格拼图游戏大家都很熟悉,这里给大家如介绍何应用状态空间搜索的方式求解拼图的最佳路径和一个游戏dome及自动求解方法: 本文分web版游戏的实现和启发式搜索算法两部分: 先看dome,直接鼠标点击要 ...
    
			
    2. 
						
  2. OSM数据下载地址
			
    1.OSM数据下载地址 官网下载: http://planet.openstreetmap.org/ GeoFabrik:http://www.geofabrik.de/ Metro Extracts ...
    
			
    3. 
						
  3. 1013团队Beta冲刺day6
			
    项目进展 李明皇 今天解决的进度 进行前后端联动调试 明天安排 完善程序运行逻辑 林翔 今天解决的进度 服务器端发布消息,删除消息,检索消息,个人发布的action 明天安排 图片功能遇到问题,微信小 ...
    
			
    4. 
						
  4. 冲刺NO.6
			
    Alpha冲刺第六天 站立式会议 项目进展 项目中学生基本信息管理,与系统管理员模块基本完成,团队开始编写学生信用信息模块内容与奖惩事务管理内容,准备开始对已完成模块进行测试. 问题困难 团队成员对前 ...
    
			
    5. 
						
  5. verilog学习笔记(0)
			
    assign赋值语句根本不允许出现在always语句块中 位于begin/end块内的多条阻塞赋值语句是串行执行的; 但是多条非阻塞赋值语句却是并行执行的,这些非阻塞赋值语句都会在其中任何一条语句执行 ...
    
			
    6. 
						
  6. bzoj 2962 序列操作
			
    2962: 序列操作 Time Limit: 50 Sec  Memory Limit: 256 MB[Submit][Status][Discuss] Description 有一个长度为n的序列, ...
    
			
    7. 
						
  7. Java排序算法之快速排序
			
    Java排序算法之快速排序 快速排序(Quicksort)是对冒泡排序的一种改进. 快速排序由C. A. R. Hoare在1962年提出.它的基本思想是:通过一趟排序将要排序的数据分割成独立的两部分 ...
    
			
    8. 
						
  8. 关于团购VPS的事情报告
			
    作者 玄魂   2017-08-11 玄魂工作室-玄魂 玄魂工作室首先要抱歉,之前的说的继续组织大家购买vps的事情,不会再组织了.原因有以下几个:1)因为人多,需求各不相同,不好协调.2)服务都是购 ...
    
			
    9. 
						
  9. 【问题解决】jhipster-registry-master空白页
			
    问题概述: 刚从github拉下来的jhipster-registry-master直接运行,访问http://localhost:8761会发现会空白页,但是网页的title显示正常,本文目的是解决 ...
    
			
    10. 
						
  10. webgoat——XSS
			
    Stage 1: Stored XSS(存储XSS攻击 黑别人) 实验内容:主要是用户"Tom"(攻击者)在自己的个人资料中添加了恶意代码(比如最简单的<script> ...
    
			
    11.