这篇文章主要介绍了PHP中的变量覆盖漏洞深入解析，文中对于变量覆盖漏洞的理解很透彻，有感兴趣的同学可以研究下。

1.extract()变量覆盖

1.extract()

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。

extract(array,extract_rules,prefix)

参考引用:https://www.runoob.com/php/func-array-extract.html

eg：

1. <?php 
2. extract($_GET);  
3.  
4. echo $name.'<br>'; 
5. echo $age.'<br>'; 
6. echo $phone.'<br>'; 
7.  
8. //GET传参:?name=xiaohua&age=22&phone=112323123 
9.  
10. //结果: 
11. // xiaohua 
12. // 22 
13. // 112323123 
14. ?> 

2.CTF中extract()导致的变量覆盖

1. <?php 
2. $flag='flag.php'; 
3. extract($_GET);  
4. if(isset($ceshi)) 
5. { 
6.  $content=trim(file_get_contents($flag)); 
7. if($ceshi==$content) 
8. { 
9.  echo'flag{xxxxxxx}'; 
10. } 
11. else 
12. { 
13.  echo'Oh.no'; 
14. } 
15. } 
16. ?> 

我们大致分析是要求我们GET传参进去值会经过extract()函数下来会有两个if 第一个if判断 ceshi这个变量是否存在 存在则继续执行if里面的。

使用file_get_contents()读取flag变量里面的文件传递给content变量 之后再进行判断传进来ceshi变量的值等不等于$content如果等于则打印出flag!

这里我们构造因为通过extract()函数我们传进的值会变成一个变量 例如我们GET传入 ceshi=1 则会存在$ceshi=1 所以我们构造GET传参pyaload:

GET传参payload:$ceshi=&$flag=

这样再程序中会有两个为空的变量而$flag=空 则覆盖了上面的$flag中的值 这样进行判断 都是空的所以为真则得到flag

3.漏洞修复

不要使用。。。。

参考 官方文档 修改extract_rules 里面的值为EXTR_SKIP eg:

extract($_GET,EXTR_SKIP);

2.PHP动态变量覆盖

1.动态变量覆盖

PHP动态变量是指一个变量名的变量名可以动态的设置和使用，一个变量获取另一个变量的值作为这个变量的变量名。

1. <?php 
2. $bar= "a"; 
3. $Foo="Bar"; 
4. $World="Foo"; 
5. $Hello="world"; 
6. $a="Hello"; 
7.  
8. echo $a; //hello 
9. echo $$a; //world 
10. echo $$$a; //foo 
11. echo $$$$$a; //Bar 
12. echo $$$$$$a; //a 
13. echo $$$$$$$a; //hello 
14. echo $$$$$$$$a; //world 
15.  
16. ?> 

CTF中的动态变量覆盖

https://www.cnblogs.com/xhds/p/12586928.html CTF中的动态变量覆盖

3.漏洞修复

避免使用这个

3.parse_str()变量覆盖

1.parse_str()

parse_str() 函数把查询字符串解析到变量中。

注释：如果未设置 array 参数，由该函数设置的变量将覆盖已存在的同名变量。

注释：php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用，那么在 parse_str() 解析之前，变量会被 addslashes() 转换。

parse_str(string,array)

参考引用:https://www.runoob.com/php/func-string-parse-str.html

eg:

1. <?php 
2. parse_str("name=xiaohua&age=22"); 
3. echo $name."<br>"; 
4. echo $age; 
5. ?> 
6. //xiaohua 
7. //22 

2.CTF中parse_str()导致的变量覆盖

1. <?php 
2. error_reporting(0); 
3. $flag="flag{xiaohua-2020}"; 
4. if (emptyempty($_GET['id'])) { 
5.  show_source(__FILE__); 
6.  die(); 
7. } else { 
8.  $a = "www.phpfensi.com"; 
9.  $id = $_GET['id']; 
10.  @parse_str($id); // 
11.  if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) { 
12.   echo $flag; 
13.  } else { 
14.   exit("no no"); 
15.  } 
16. } 
17. ?> 

分析代码 判断GET传入的id值是否为空为空的话输出源码终止程序，否则的话则接收id值 经过parse_str() 然后呢if判断 $a[0] 的值要不等于QNKCDZO

但$a[0]的md5值要等于QNKCDZO这里可以采用Hash比较缺陷来解决这一步 下来就是传入变量覆盖$a[0]的值 因为有parse_str所以我们可以构造payload:

payload:http://127.0.0.1/test.php?id=a[0]=s878926199a

3.漏洞修复

为了防止变量覆盖，尽量使用指定输出变量方式

4.import_request_variables()变量覆盖

1.import_request_variables()

(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)

import_request_variables—将 GET／POST／Cookie 变量导入到全局作用域中

将 GET／POST／Cookie 变量导入到全局作用域中,如果你禁止了register_globals，但又想用到一些全局变量，那么此函数就很有用。

import_request_variables ( string $types [, string $prefix ] ) : bool

参考引用:https://www.php.net/manual/zh/function.import-request-variables.php

2.CTF中import_request_variables()导致的变量覆盖

1. <?php 
2. $num=0; 
3. //include 'flag.php'; 
4. import_request_variables('gp'); //导入get和post中变量 
5.  
6. if($num=="xiaohua"){ 
7.  echo 'flag{ xiaohua-2020-3-28}'; 
8.  // echo $flag.php; 
9. }else{ 
10.  echo "NO!"; 
11. } 
12. ?>  
13.  
14. //payload：http://127.0.0.1/test.php?num=xiaohua 
15. //flag{ xiaohua-2020-3-28} 

3.漏洞修复

尽量不要使用....

5.PHP全局变量覆盖

1.register_globals

当register_globals全局变量设置开启时，传递过来的值会被直接注册为全局变量而使用，这会造成全局变量覆盖

在PHP5.3之前 默认开启 PHP5.3默认关闭 PHP5.6及5.7已经被移除

2.CTF中全局变量覆盖

测试环境:php5.2.17

1. <?php 
2. if ($num){ 
3.  echo "flag{xiaohua-2020-3-28}"; 
4. } 
5. ?>  
6. //payload：http://127.0.0.1/test.php?num=1 
7. //flag{xiaohua-2020-3-28} 

3.漏洞修复

关闭register_globals=off 或者使用5.6以上版本。。

Tags: PHP变量覆盖漏洞

分享到：