简介

今天利用周六整理了一下 php覆盖的漏洞

榆林学院的同学可以使用协会内部实验平台进行实验操作。

1.extract()变量覆盖

1.extract()

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。

extract(array,extract_rules,prefix)

参考引用:https://www.runoob.com/php/func-array-extract.html

eg:

<?php

extract($_GET);  

echo $name.'<br>';

echo $age.'<br>';

echo $phone.'<br>';

//GET传参:?name=xiaohua&age=22&phone=112323123

//结果:

// xiaohua

// 22

// 112323123

?>

2.CTF中extract()导致的变量覆盖

<?php

$flag='flag.php';

extract($_GET);

if(isset($ceshi))

{

 $content=trim(file_get_contents($flag));

if($ceshi==$content)

{

    echo'flag{xxxxxxx}';

}

else

{

    echo'Oh.no';

}

}

?>

我们大致分析是要求我们GET传参进去值会经过extract()函数 下来会有两个if 第一个if判断 ceshi这个变量是否存在 存在则继续执行if里面的

使用file_get_contents()读取flag变量里面的文件传递给content变量 之后 再进行判断传进来ceshi变量的值等不等于$content如果等于则打印出flag!

这里我们构造因为通过extract()函数我们传进的值会变成一个变量  例如我们GET传入 ceshi=1 则会存在$ceshi=1  所以我们构造GET传参pyaload:

GET传参payload:$ceshi=&$flag=

这样再程序中会有两个为空的变量而$flag=空 则覆盖了上面的$flag中的值 这样进行判断 都是空的所以为真则得到flag

3.漏洞修复

不要使用。。。。
参考 官方文档 修改extract_rules 里面的值为EXTR_SKIP  eg:

extract($_GET,EXTR_SKIP);

2.PHP动态变量覆盖

1.动态变量覆盖

PHP动态变量是指一个变量名的变量名可以动态的设置和使用,一个变量获取另一个变量的值作为这个变量的变量名。

<?php

$bar= "a";

$Foo="Bar";

$World="Foo";

$Hello="world";

$a="Hello";

echo $a; //hello

echo $$a; //world

echo $$$a; //foo

echo $$$$$a; //Bar

echo $$$$$$a; //a

echo $$$$$$$a; //hello

echo $$$$$$$$a; //world

?>

CTF中的动态变量覆盖

https://www.cnblogs.com/xhds/p/12586928.html  CTF中的动态变量覆盖

3.漏洞修复

避免使用这个

3.parse_str()变量覆盖

1.parse_str()

parse_str() 函数把查询字符串解析到变量中。

注释:如果未设置 array 参数,由该函数设置的变量将覆盖已存在的同名变量。

注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。

parse_str(string,array)

参考引用:https://www.runoob.com/php/func-string-parse-str.html

eg:

<?php

parse_str("name=xiaohua&age=22");

echo $name."<br>";

echo $age;

?>

//xiaohua

//22

2.CTF中parse_str()导致的变量覆盖

<?php

error_reporting(0);

$flag="flag{xiaohua-2020}";

if (empty($_GET['id'])) {

   show_source(__FILE__);

   die();

} else {

    $a = "www.xiaohua.com";

    $id = $_GET['id'];

    @parse_str($id);  //

 if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {

       echo $flag;

  } else {

      exit("no no");

  }

}

?>

分析代码 判断GET传入的id值是否为空为空的话输出源码终止程序,否则的话则接收id值 经过parse_str() 然后呢if判断 $a[0] 的值要不等于QNKCDZO

但$a[0]的md5值要等于QNKCDZO这里可以采用Hash比较缺陷 来解决这一步 下来就是传入变量覆盖$a[0]的值  因为有parse_str所以我们可以构造payload:

payload:http://127.0.0.1/test.php?id=a[0]=s878926199a

3.漏洞修复

为了防止变量覆盖,尽量使用指定输出变量方式

4.import_request_variables()变量覆盖

1. import_request_variables()

(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)

import_request_variables — 将 GET/POST/Cookie 变量导入到全局作用域中

将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。

import_request_variables ( string $types [, string $prefix ] ) : bool

参考引用:https://www.php.net/manual/zh/function.import-request-variables.php

2.CTF中import_request_variables()导致的变量覆盖

<?php

$num=0;

//include 'flag.php';

import_request_variables('gp'); //导入get和post中变量

if($num=="xiaohua"){

    echo 'flag{ xiaohua-2020-3-28}';

    // echo $flag.php;

}else{

    echo "NO!";

}

?> 

//payload:http://127.0.0.1/test.php?num=xiaohua

//flag{ xiaohua-2020-3-28}

3.漏洞修复

尽量不要使用....

5.PHP全局变量覆盖

1.register_globals

当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而使用,这会造成全局变量覆盖

在PHP5.3之前 默认开启 PHP5.3默认关闭  PHP5.6及5.7已经被移除

2.CTF中全局变量覆盖

测试环境:php5.2.17

<?php

if ($num){

   echo "flag{xiaohua-2020-3-28}";

}

?>

//payload:http://127.0.0.1/test.php?num=1

//flag{xiaohua-2020-3-28}

3.漏洞修复

关闭register_globals=off 或者使用5.6以上版本。。

PHP中的变量覆盖漏洞的更多相关文章

  1. CTF中的变量覆盖漏洞

    https://www.cnblogs.com/bmjoker/p/9025351.html 原   作 者:bmjoker出 处:https://www.cnblogs.com/bmjoker/p/ ...

  2. 变量覆盖漏洞学习及在webshell中的运用

    一.发生条件: 函数使用不当($$.extract().parse_str().import_request_variables()等) 开启全局变量 二.基础了解: 1.$$定义 $$代表可变变量, ...

  3. ctf变量覆盖漏洞:

    1.变量覆盖: ①:针对extract函数的变量覆盖漏洞: <?php @error_reporting(E_ALL^E_NOTICE); require('config.php'); if($ ...

  4. PHP代码审计笔记--变量覆盖漏洞

    变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击. 经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数, ...

  5. 7. 由一道ctf学习变量覆盖漏洞

    0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究. 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导 ...

  6. php之变量覆盖漏洞讲解

    1.变量没有初始化的问题(1): wooyun连接1:[link href="WooYun: PHPCMS V9 member表内容随意修改漏洞"]tenzy[/link] $up ...

  7. Web安全之变量覆盖漏洞

    通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_reques ...

  8. 代码审计-MetInfo CMS变量覆盖漏洞

    0x01 代码分析 安装好后是这样的 漏洞文件地址\include\common.inc.php 首先是在这个文件发现存在变量覆盖的漏洞 foreach(array('_COOKIE', '_POST ...

  9. 2020/2/1 PHP代码审计之变量覆盖漏洞

    0x00 变量覆盖简介 变量覆盖是指变量未被初始化,我们自定义的参数值可以替换程序原有的变量值. 0x01 漏洞危害 通常结合程序的其他漏洞实现完整的攻击,比如文件上传页面,覆盖掉原来白名单的列表,导 ...

随机推荐

  1. requests设置代理ip

    # coding=utf-8 import requests url = "http://test.yeves.cn/test_header.php" headers = { &q ...

  2. 数据库备份作业的T-SQL语句

    1.关于大容量数据导入导出的一些方法SQL SERVER提供多种工具用于各种数据源的数据导入导出,这些数据源包括本文文件.ODBC数据源.OLE DB数据源.ASCII文本文件和EXCEL电子表格.2 ...

  3. python 微信小程序自动化

    微信小程序自动化 https://www.cnblogs.com/yyoba/python27 - FautoTesthttps://www.cnblogs.com/yyoba/p/9973731.h ...

  4. 看完本文若不能让你学通“Python”,我将永远退出IT界

    学Python,切忌今天这学一点,明天那里学一点,零零散散没有系统的学习.这样不仅耽搁大家时间,久而久之也会消磨大家学习的兴致!这里给大家总结了一张系统的Python学习路线图!希望大家共勉! Pyt ...

  5. 华为云FusionInsight湖仓一体解决方案的前世今生

    摘要:华为云发布新一代智能数据湖华为云FusionInsight时再次提到了湖仓一体理念,那我们就来看看湖仓一体的来世今生. 伴随5G.大数据.AI.IoT的飞速发展,数据呈现大规模.多样性的极速增长 ...

  6. mysql增删改查语法

    MySQL 关注公众号"轻松学编程"了解更多. MySQL是关系型数据库,对大小写不敏感. MySQL属于关系型数据库, 优点: 复杂查询 可以用SQL语句方便的在一个表以及多个表 ...

  7. python中可迭代对象、迭代器、生成器

    可迭代对象 关注公众号"轻松学编程"了解更多. 1.列表生成式 list = [result for x in range(m, n)] g1 = (i for i in rang ...

  8. 转载:解密Redis持久化

    本文内容来源于Redis作者博文,Redis作者说,他看到的所有针对Redis的讨论中,对Redis持久化的误解是最大的,于是他写了一篇长文来对Redis的持久化进行了系统性的论述.文章非常长,也很值 ...

  9. 测试流程规范--测试准入、准出、停止标准、bug优先级定义

    一.背景 最近在推进组内流程规范专项建设,从"研发测试流程"."提测规范"."测试准入标准"."bug优先级标准".&q ...

  10. 深入web workers (上)

    前段时间,为了优化某个有点复杂的功能,我采用了shared workers + indexDB,构建了一个高性能的多页面共享的服务.由于是第一次真正意义上的运用workers,比以前单纯的学习有更多体 ...