PHP中的变量覆盖漏洞
简介
今天利用周六整理了一下 php覆盖的漏洞
榆林学院的同学可以使用协会内部实验平台进行实验操作。
1.extract()变量覆盖
1.extract()
extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
该函数返回成功设置的变量数目。
extract(array,extract_rules,prefix)
参考引用:https://www.runoob.com/php/func-array-extract.html
eg:
<?php
extract($_GET); echo $name.'<br>';
echo $age.'<br>';
echo $phone.'<br>'; //GET传参:?name=xiaohua&age=22&phone=112323123 //结果:
// xiaohua
// 22
// 112323123
?>
2.CTF中extract()导致的变量覆盖
<?php
$flag='flag.php';
extract($_GET);
if(isset($ceshi))
{
$content=trim(file_get_contents($flag));
if($ceshi==$content)
{
echo'flag{xxxxxxx}';
}
else
{
echo'Oh.no';
}
}
?>
我们大致分析是要求我们GET传参进去值会经过extract()函数 下来会有两个if 第一个if判断 ceshi这个变量是否存在 存在则继续执行if里面的
使用file_get_contents()读取flag变量里面的文件传递给content变量 之后 再进行判断传进来ceshi变量的值等不等于$content如果等于则打印出flag!
这里我们构造因为通过extract()函数我们传进的值会变成一个变量 例如我们GET传入 ceshi=1 则会存在$ceshi=1 所以我们构造GET传参pyaload:
GET传参payload:$ceshi=&$flag=
这样再程序中会有两个为空的变量而$flag=空 则覆盖了上面的$flag中的值 这样进行判断 都是空的所以为真则得到flag
3.漏洞修复
不要使用。。。。
参考 官方文档 修改extract_rules 里面的值为EXTR_SKIP eg:
extract($_GET,EXTR_SKIP);
2.PHP动态变量覆盖
1.动态变量覆盖
PHP动态变量是指一个变量名的变量名可以动态的设置和使用,一个变量获取另一个变量的值作为这个变量的变量名。
<?php
$bar= "a";
$Foo="Bar";
$World="Foo";
$Hello="world";
$a="Hello"; echo $a; //hello
echo $$a; //world
echo $$$a; //foo
echo $$$$$a; //Bar
echo $$$$$$a; //a
echo $$$$$$$a; //hello
echo $$$$$$$$a; //world ?>
CTF中的动态变量覆盖
https://www.cnblogs.com/xhds/p/12586928.html CTF中的动态变量覆盖
3.漏洞修复
避免使用这个
3.parse_str()变量覆盖
1.parse_str()
parse_str() 函数把查询字符串解析到变量中。
注释:如果未设置 array 参数,由该函数设置的变量将覆盖已存在的同名变量。
注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。
parse_str(string,array)
参考引用:https://www.runoob.com/php/func-string-parse-str.html
eg:
<?php
parse_str("name=xiaohua&age=22");
echo $name."<br>";
echo $age;
?>
//xiaohua
//22
2.CTF中parse_str()导致的变量覆盖
<?php
error_reporting(0);
$flag="flag{xiaohua-2020}";
if (empty($_GET['id'])) {
show_source(__FILE__);
die();
} else {
$a = "www.xiaohua.com";
$id = $_GET['id'];
@parse_str($id); //
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {
echo $flag;
} else {
exit("no no");
}
}
?>
分析代码 判断GET传入的id值是否为空为空的话输出源码终止程序,否则的话则接收id值 经过parse_str() 然后呢if判断 $a[0] 的值要不等于QNKCDZO
但$a[0]的md5值要等于QNKCDZO这里可以采用Hash比较缺陷 来解决这一步 下来就是传入变量覆盖$a[0]的值 因为有parse_str所以我们可以构造payload:
payload:http://127.0.0.1/test.php?id=a[0]=s878926199a
3.漏洞修复
为了防止变量覆盖,尽量使用指定输出变量方式
4.import_request_variables()变量覆盖
1. import_request_variables()
(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)
import_request_variables — 将 GET/POST/Cookie 变量导入到全局作用域中
将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。
import_request_variables ( string $types [, string $prefix ] ) : bool
参考引用:https://www.php.net/manual/zh/function.import-request-variables.php
2.CTF中import_request_variables()导致的变量覆盖
<?php
$num=0;
//include 'flag.php';
import_request_variables('gp'); //导入get和post中变量 if($num=="xiaohua"){
echo 'flag{ xiaohua-2020-3-28}';
// echo $flag.php;
}else{
echo "NO!";
}
?> //payload:http://127.0.0.1/test.php?num=xiaohua
//flag{ xiaohua-2020-3-28}
3.漏洞修复
尽量不要使用....
5.PHP全局变量覆盖
1.register_globals
当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而使用,这会造成全局变量覆盖
在PHP5.3之前 默认开启 PHP5.3默认关闭 PHP5.6及5.7已经被移除
2.CTF中全局变量覆盖
测试环境:php5.2.17
<?php
if ($num){
echo "flag{xiaohua-2020-3-28}";
}
?>
//payload:http://127.0.0.1/test.php?num=1
//flag{xiaohua-2020-3-28}
3.漏洞修复
关闭register_globals=off 或者使用5.6以上版本。。
PHP中的变量覆盖漏洞的更多相关文章
- CTF中的变量覆盖漏洞
https://www.cnblogs.com/bmjoker/p/9025351.html 原 作 者:bmjoker出 处:https://www.cnblogs.com/bmjoker/p/ ...
- 变量覆盖漏洞学习及在webshell中的运用
一.发生条件: 函数使用不当($$.extract().parse_str().import_request_variables()等) 开启全局变量 二.基础了解: 1.$$定义 $$代表可变变量, ...
- ctf变量覆盖漏洞:
1.变量覆盖: ①:针对extract函数的变量覆盖漏洞: <?php @error_reporting(E_ALL^E_NOTICE); require('config.php'); if($ ...
- PHP代码审计笔记--变量覆盖漏洞
变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击. 经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数, ...
- 7. 由一道ctf学习变量覆盖漏洞
0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究. 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导 ...
- php之变量覆盖漏洞讲解
1.变量没有初始化的问题(1): wooyun连接1:[link href="WooYun: PHPCMS V9 member表内容随意修改漏洞"]tenzy[/link] $up ...
- Web安全之变量覆盖漏洞
通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_reques ...
- 代码审计-MetInfo CMS变量覆盖漏洞
0x01 代码分析 安装好后是这样的 漏洞文件地址\include\common.inc.php 首先是在这个文件发现存在变量覆盖的漏洞 foreach(array('_COOKIE', '_POST ...
- 2020/2/1 PHP代码审计之变量覆盖漏洞
0x00 变量覆盖简介 变量覆盖是指变量未被初始化,我们自定义的参数值可以替换程序原有的变量值. 0x01 漏洞危害 通常结合程序的其他漏洞实现完整的攻击,比如文件上传页面,覆盖掉原来白名单的列表,导 ...
随机推荐
- 分布式事务说的的2PC、3PC、TCC是啥
目录 2PC(Two Phase Commit) 3PC(Three Phase Commit) TCC(Try-Confirm-Cancel) 2PC(Two Phase Commit) 顾名思义, ...
- 【机器学习 Azure Machine Learning】使用VS Code登录到Linux VM上 (Remote-SSH), 及可直接通过VS Code编辑VM中的文件
问题描述 在平常的工作习惯中,如果使用VS Code做脚本的开发,是一个非常好用的工具,现在也可以通过VS Code的不同方式来连接到Linux VM中(ssh), 第一种是VS Code的Termi ...
- C# 获取页面Post过来的数据
/// <summary> /// 获取post过来的数据 /// </summary> /// <param name="page">< ...
- linux启动oracle服务 和监听
(1) su - oracle 切换成oracle 用户 (2)sqlplus / as sysdba (3)startup: (4)quit:退出sql模式 exit 退出oracle用户 (5)l ...
- 在VirtualBox中调整Raspbian分辨率
参考自一路阳光随行发表的virtualBox设置虚拟机分辨率大小中ubuntu虚拟机分辨率的设置方法. 启动Raspbian虚拟机,点击 窗口主菜单里的设备->安装增强功能.系统后会自动挂载增强 ...
- Java安全之Commons Collections7分析
Java安全之Commons Collections7分析 0x00 前言 本文讲解的该链是原生ysoserial中的最后一条CC链,但是实际上并不是的.在后来随着后面各位大佬们挖掘利用链,CC8,9 ...
- 应该怎么提升4G工业路由器的无线信号?
4G工业路由器如今应用的范围非常的广泛,在实际使用中也遇到了很多的问题,其中经常被问到的一个问题就是我们怎么保证4G工业路由器的良好信号强度.在互联网上也有很多关于如何找到最佳信号的方法,但对于固定和 ...
- Js模块化开发的理解
Js模块化开发的理解 模块化是一个语言发展的必经之路,其能够帮助开发者拆分和组织代码,随着前端技术的发展,前端编写的代码量也越来越大,就需要对代码有很好的管理,而模块化能够帮助开发者解决命名冲突.管理 ...
- 什么是 session 和 cookie
cookie 大家应该都熟悉,比如说登录某些网站一段时间后,就要求你重新登录:再比如有的同学很喜欢玩爬虫技术,有时候网站就是可以拦截住你的爬虫,这些都和 cookie 有关.如果你明白了服务器后端对于 ...
- 关于||和&&运算符及表达式的执行
++a || ++b && ++c表达式中++a,--b,++c三者执行与否的判断 在||运算符前的表达式为真,则其后的表达式不执行 eg:执行前 a=2, b=2, c=2 执行 ...