文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

PHP中的变量覆盖漏洞深入解析

2024-04-02 19:55

关注

1.extract()变量覆盖

1.extract()

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。


extract(array,extract_rules,prefix)

参考引用:https://www.runoob.com/php/func-array-extract.html

eg:


<?php
extract($_GET); 

echo $name.'<br>';
echo $age.'<br>';
echo $phone.'<br>';

//GET传参:?name=xiaohua&age=22&phone=112323123

//结果:
// xiaohua
// 22
// 112323123
?>

2.CTF中extract()导致的变量覆盖


<?php
$flag='flag.php';
extract($_GET); 
if(isset($ceshi))
{
 $content=trim(file_get_contents($flag));
if($ceshi==$content)
{
 echo'flag{xxxxxxx}';
}
else
{
 echo'Oh.no';
}
}
?>

我们大致分析是要求我们GET传参进去值会经过extract()函数下来会有两个if 第一个if判断 ceshi这个变量是否存在 存在则继续执行if里面的

使用file_get_contents()读取flag变量里面的文件传递给content变量 之后再进行判断传进来ceshi变量的值等不等于$content如果等于则打印出flag!

这里我们构造因为通过extract()函数我们传进的值会变成一个变量 例如我们GET传入 ceshi=1 则会存在$ceshi=1 所以我们构造GET传参pyaload:

GET传参payload:$ceshi=&$flag= 

这样再程序中会有两个为空的变量而$flag=空 则覆盖了上面的$flag中的值 这样进行判断 都是空的所以为真则得到flag

3.漏洞修复

不要使用。。。。
参考 官方文档 修改extract_rules 里面的值为EXTR_SKIP eg:


extract($_GET,EXTR_SKIP); 

2.PHP动态变量覆盖

1.动态变量覆盖

PHP动态变量是指一个变量名的变量名可以动态的设置和使用,一个变量获取另一个变量的值作为这个变量的变量名。


<?php
$bar= "a";
$Foo="Bar";
$World="Foo";
$Hello="world";
$a="Hello";

echo $a; //hello
echo $$a; //world
echo $$$a; //foo
echo $$$$$a; //Bar
echo $$$$$$a; //a
echo $$$$$$$a; //hello
echo $$$$$$$$a; //world

?>

CTF中的动态变量覆盖

https://www.cnblogs.com/xhds/p/12586928.html CTF中的动态变量覆盖

3.漏洞修复

避免使用这个

3.parse_str()变量覆盖

1.parse_str()

parse_str() 函数把查询字符串解析到变量中。

注释:如果未设置 array 参数,由该函数设置的变量将覆盖已存在的同名变量。

注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。


parse_str(string,array)

参考引用:https://www.runoob.com/php/func-string-parse-str.html

eg:


<?php
parse_str("name=xiaohua&age=22");
echo $name."<br>";
echo $age;
?>
//xiaohua
//22

2.CTF中parse_str()导致的变量覆盖


<?php
error_reporting(0);
$flag="flag{xiaohua-2020}";
if (empty($_GET['id'])) {
 show_source(__FILE__);
 die();
} else {
 $a = "www.xiaohua.com";
 $id = $_GET['id'];
 @parse_str($id); //
 if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {
  echo $flag;
 } else {
  exit("no no");
 }
}
?>

分析代码 判断GET传入的id值是否为空为空的话输出源码终止程序,否则的话则接收id值 经过parse_str() 然后呢if判断 $a[0] 的值要不等于QNKCDZO

但$a[0]的md5值要等于QNKCDZO这里可以采用Hash比较缺陷来解决这一步 下来就是传入变量覆盖$a[0]的值 因为有parse_str所以我们可以构造payload:

payload:http://127.0.0.1/test.php?id=a[0]=s878926199a 

3.漏洞修复

为了防止变量覆盖,尽量使用指定输出变量方式

4.import_request_variables()变量覆盖

1.import_request_variables()

(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)

import_request_variables—将 GET/POST/Cookie 变量导入到全局作用域中

将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了register_globals,但又想用到一些全局变量,那么此函数就很有用。


import_request_variables ( string $types [, string $prefix ] ) : bool

参考引用:https://www.php.net/manual/zh/function.import-request-variables.php

2.CTF中import_request_variables()导致的变量覆盖


<?php
$num=0;
//include 'flag.php';
import_request_variables('gp'); //导入get和post中变量

if($num=="xiaohua"){
 echo 'flag{ xiaohua-2020-3-28}';
 // echo $flag.php;
}else{
 echo "NO!";
}
?> 

//payload:http://127.0.0.1/test.php?num=xiaohua
//flag{ xiaohua-2020-3-28}

3.漏洞修复

尽量不要使用....

5.PHP全局变量覆盖

1.register_globals

当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而使用,这会造成全局变量覆盖

在PHP5.3之前 默认开启 PHP5.3默认关闭 PHP5.6及5.7已经被移除

2.CTF中全局变量覆盖

测试环境:php5.2.17


<?php
if ($num){
 echo "flag{xiaohua-2020-3-28}";
}
?> 
//payload:http://127.0.0.1/test.php?num=1
//flag{xiaohua-2020-3-28}

3.漏洞修复

关闭register_globals=off 或者使用5.6以上版本。。

到此这篇关于PHP中的变量覆盖漏洞深入解析的文章就介绍到这了,更多相关PHP中的变量覆盖漏洞内容请搜索编程网以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程网!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯