PHP代码审计:变量覆盖漏洞

最新推荐文章于 2024-03-28 11:24:58 发布
转载 最新推荐文章于 2024-03-28 11:24:58 发布 · 426 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/God_XiangYu/article/details/97984208

本文深入探讨了变量覆盖漏洞,详细讲解了extract(), parse_str(), 和import_request_variables()函数的使用不当如何导致变量覆盖,以及如何防范此类漏洞。
原文链接: https://www.shiyanlou.com/courses/895

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

 

       代码审计学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅。

目录

变量覆盖漏洞

一、简介

• extract()函数

• parse_strc()函数

• import_request_variables()函数

二、漏洞利用

三、漏洞防范

 extract()函数防御

parse_str()函数防御

import_request_variables()函数防御

变量覆盖漏洞

       变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击

一、简介

变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract(), parse_str()和import_request_variables()【php5.4后取消】

通常来说,单独的变量覆盖漏洞很难有利用价值,需要和其他漏洞结合起来才能完成攻击

 

• extract()函数

先看看extract()函数说明:


 
  1. 
   
    
    
    
   
    
   
    
    
    
     extract(
     array,extract_rules,prefix)
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
     
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
    
     函数从数组中将变量导入到当前的符号表,即将数组中的键值对注册成函数,使用数组键名作为变量名,使用数组键值作为变量值

该函数的变量覆盖隐患就出在第二个参数上面:

  • 当第二个参数为空或者EXTR_OVERWRITE时,变量注册如果遇到冲突会直接覆盖掉原变量。

  • 当第二个变量为EXTR_IF_EXISTS时,仅当原变量已存在是对其进行更新,否则不注册新变量。

  • 当第二个变量为空,只传入第一个参数时,仅当原变量已存在是对其进行更新,否则不注册新变量。

extract.php 代码如下:


 
  1. 
   
    
    
    
   
    
   
    
    
    
     <?php
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
    
         header(
     "Content-Type: text/html; charset=utf-8");
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
    
         $a = 
     1;
    
    
   
  4. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "extract()执行之前:\$a = ".$a.
     "<br />");
    
    
   
  5. 
   
    
    
    
   
    
   
    
    
    
         $b = 
     array(
     'a'=>
     '2');
    
    
   
  6. 
   
    
    
    
   
    
   
    
    
    
         extract($b);
    
    
   
  7. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "extract()执行之后:\$a = ".$a.
     "<br />");
    
    
   
  8. 
   
    
    
    
   
    
   
    
    
    
     ?>

打开浏览器输入:http://192.168.161.133/VariCover/extract.php

可以看到extract()函数执行之后,将变量$a的值覆盖

 

• parse_strc()函数

说明:


 
  1. 
   
    
    
    
   
    
   
    
    
     
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
    
          parse_str(string,
     array)
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
     
    
    
   
  4. 
   
    
    
    
   
    
   
    
    
    
          函数把查询字符串解析并注册为变量,主要用于页面之间传值(参数)

该函数在注册变量之前不会验证当前变量是否已存在,如果存在会直接覆盖。

parse_str.php


 
  1. 
   
    
    
    
   
    
   
    
    
    
     <?php
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
    
         $a = 
     1;
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "parse_str()执行之前:\$a = ".$a.
     "<br />");
    
    
   
  4. 
   
    
    
    
   
    
   
    
    
    
         parse_str(
     "a=2");
    
    
   
  5. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "parsr_str()执行之后:\$a = ".$a.
     "<br />");
    
    
   
  6. 
   
    
    
    
   
    
   
    
    
    
     ?>

打开浏览器,输入url:http://192.168.161.133/VariCover/extract.php

 

• import_request_variables()函数

说明:


 
  1. 
   
    
    
    
   
    
   
    
    
     
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
    
          import_request_variables ( string $types , string $prefix )
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
     
    
    
   
  4. 
   
    
    
    
   
    
   
    
    
    
          将 GET/POST/Cookie 变量导入到全局作用域中, types 参数指定需要导入的变量, G代表GET,P代表POST,C代表
    
    
   
  5. 
   
    
    
    
   
    
   
    
    
    
     COOKIE

import_request_variables.php


 
  1. 
   
    
    
    
   
    
   
    
    
    
     <?php
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
    
         $a = 
     1;
     //原变量值为1  
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
    
         import_request_variables(
     'GP'); 
     //传入参数是注册变量   
    
    
   
  4. 
   
    
    
    
   
    
   
    
    
    
         print_r($a); 
     //输出结果会变成传入参数
    
    
   
  5. 
   
    
    
    
   
    
   
    
    
    
     ?>

    值得注意的是:import_request_variables()函数函数只能用在 PHP4.1 ~ PHP5.4之间,额外以上三种函数,使用时请格外注意,否则非常容易出现变量覆盖漏洞。

 

二、漏洞利用

       我们应该已经理解了变量覆盖是怎么发生的,但是否还在疑惑这种漏洞是如何利用的?又会造成怎样的危害呢? 正如之前所说,单独的变量覆盖漏洞不易实现完整的攻击,但是这种漏洞的利用上限非常高,配合上其他漏洞,会有意想不到的效果。 比如,齐博CMS变量覆盖导致sql注入漏洞、metinfo变量覆盖漏洞导致任意文件包含,有兴趣的同学可以自行百度了解详情,这里就点到为止

 

三、漏洞防范

 extract()函数防御

将extract.php中extract()函数第二个参数修改为extr_skip:


 
  1. 
   
    
    
    
   
    
   
    
    
    
     <?php
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
    
         header(
     "Content-Type: text/html; charset=utf-8");
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
    
         $a = 
     1;
    
    
   
  4. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "extract()执行之前:\$a = ".$a.
     "<br />");
    
    
   
  5. 
   
    
    
    
   
    
   
    
    
    
         $b = 
     array(
     'a'=>
     '2');
    
    
   
  6. 
   
    
    
    
   
    
   
    
    
    
         extract($b,extr_skip);
    
    
   
  7. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "extract()执行之后:\$a = ".$a.
     "<br />");
    
    
   
  8. 
   
    
    
    
   
    
   
    
    
    
     ?>

再加载该页面,可以看到变量没有再被覆盖

 

parse_str()函数防御

parse_str()函数的防范,只能我们自己添加判断语句,比如:


 
  1. 
   
    
    
    
   
    
   
    
    
    
     <?php
    
    
   
  2. 
   
    
    
    
   
    
   
    
    
    
         header(
     "Content-Type: text/html; charset=utf-8");
    
    
   
  3. 
   
    
    
    
   
    
   
    
    
    
         $a = 
     1;
    
    
   
  4. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "parse_str()执行之前:\$a = ".$a.
     "<br />");
    
    
   
  5. 
   
    
    
    
   
    
   
    
    
        
     if(!
     isset($a)){
    
    
   
  6. 
   
    
    
    
   
    
   
    
    
    
         	parse_str(
     "a=2");
    
    
   
  7. 
   
    
    
    
   
    
   
    
    
    
         }
    
    
   
  8. 
   
    
    
    
   
    
   
    
    
    
         print_r(
     "parsr_str()执行之后:\$a = ".$a.
     "<br />");
    
    
   
  9. 
   
    
    
    
   
    
   
    
    
    
     ?>

再加载该页面,可以看到变量不再会被覆盖

 

import_request_variables()函数防御

       此函数是非常危险的函数,在PHP5.5之后已被官方删除!假如你任然在使用低版本的PHP环境,也建议你避免使用此函数.

=========================================================================

PHP变量覆盖漏洞
m0_51426816的博客
02-08 753
1.全局变量覆盖 register_globals为On时,传递的值会被注册为全局变量直接使用 2.extract()变量覆盖 extract() 函数将变量从数组中导入到当前的符号表,使用数组键名作为变量名,键值作为变量值,在当前符号表中创建数组中的每个元素对应的变量,使用“EXTR_OVERWRITE”时,变量名发生冲突会覆盖已有变量 <?php $a = "0"; $a_array = array("a" => "1","b" => "2"); extract($a_array);
代码审计|变量覆盖漏洞
世间繁华梦一出
01-11 388
变量覆盖漏洞漏洞简介$$导致的变量覆盖问题CTF中$$导致的变量覆盖问题的例题1: 漏洞简介 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结。 $$导致的变量覆盖问题 $$导致的变量覆盖问题在C
PHP代码审计基础:变量覆盖漏洞
1匹黑马
12-06 575
文章目录变量覆盖危害挖掘思路$$变量覆盖extract()变量覆盖 变量覆盖 变量覆盖,是指变量未初始化,我们定义的参数值,可以替换程序原有的变量值。 危害 通常结合程序其他的漏洞实现完整的攻击。比如文件上传,覆盖掉原来白名单的列表,导致任意文件上传;用户注册界面控制没有覆盖变量,导致SQL注入 挖掘思路 主要还是以下几个函数 extract() import_request_variables() parse_str() $$ $$变量覆盖 测试代码: <?php /*extract(
PHP代码审计笔记--变量覆盖漏洞
11-16 425
&#13;    变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。&#13;    经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数,import_request_variables()使用不当,开启了全局变量注册等。&#13;  0×01 全局变量覆盖&#13;   regi...
php代码审计【13】变量覆盖
司徒荆的博客
06-28 473
变量覆盖
【基础篇】第11篇:PHP代码审计笔记--变量覆盖漏洞1
08-03
PHP代码审计笔记--变量覆盖漏洞1】 在PHP编程中,变量覆盖漏洞是一个常见的安全问题,它涉及到程序中变量的不当处理,使得攻击者能够通过输入数据改变原本不应该被修改的变量值。本文将深入探讨几种导致变量覆盖...
WEB代码审计变量与危险函数揭示漏洞全貌
PHP作为一种广泛应用且复杂的编程语言,因其灵活的变量处理机制(如全局变量)、庞大的函数库以及早期版本的register_globals默认设置,使得PHP代码审计更具挑战性。《高级PHP应用程序漏洞审核技术》等相关资料提供...
DuomiCMS代码审计-变量覆盖漏洞复现
小小小屿屿屿的博客
12-20 2086
Duomicms是一个开源免费的系统,但是其中也存在漏洞,本文从代码审计角度去详细阐述其中存在的一个变量覆盖漏洞
php变量覆盖漏洞
kendyhj9999的专栏
05-23 926
php变量覆盖漏洞 发表于:2013 年 4 月 8 日 | 标签: php | 两种情况,第一种register_globals,第二种人为变量覆盖 1、register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被直接的注册为全局变量直接使用,而Off的时候,我们需要到特定的数组里去得到它。PHP4默认开启,PHP5以后默认关闭。 2、人为变量
PHP代码审计————9、 PHP代码审计变量覆盖
Fly_鹏程万里
05-16 582
变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数,import_request_variables()使用不当,开启了全局变量注册等。0×01 全局变量覆盖  register_globals的意思就是注册为全局变量,所以当On的时候,传递过来的值会被...
PHP代码审计变量覆盖
god_Zeo的安全博客
09-09 462
0x00 前提 本文是给作为给小伙伴分享教学的一篇文章,给讲一下,所以写的比较简陋。。。见谅而且都比较基础,只是简单讲课提纲吧 0x01 变量覆盖审计 0x00 简介 变量覆盖,顾名思义就是可以覆盖已有变量值,导致变量覆盖漏洞 常见的造成的代码审计的情景是代码中出现以下关键词: register_globals=on extract()函数 parse_str()函数 import_request_variables()函数 $$ 0x01 变量覆盖演示 extract() extract(array
PHP extract() 函数的用法
Bob Kelly 的博客
04-29 1094
将键值 "Cat"、"Dog" 和 "Horse" 赋值给变量 $a、$b 和 $c: <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?>
PHP中的变量覆盖漏洞
m0_64583632的博客
07-12 1422
详细介绍在php中可导致变量覆盖的函数或者因素,解释它们造成的变量覆盖的原因和在CTF中是怎么考查的
php中的变量覆盖漏洞
最新发布
weixin_66839513的博客
03-28 1351
变量覆盖就是通过外部输入将某个变量的值覆盖,将自定义的参数值替换掉原有变量值的情况就是变量覆盖漏洞
php变量覆盖函数,代码审计--变量覆盖
weixin_39831567的博客
03-19 559
1. 变量覆盖定义变量覆盖指的是可以用我们的传参值替换程序原有的变量值2.风险变量覆盖漏洞有的时候可以直接让我们获取Webshell,拿到服务器的权限3.寻找变量覆盖经常导致变量覆盖漏洞场景有:1.$$使用不当2.extract()函数使用不当,3.parse_str()函数使用不当4.import_request_variables()使用不当,开启了全局变量注册等3.1.经常引发变量覆盖漏...
PHP代码审计变量覆盖
秋水的博客
09-07 773
漏洞简介 什么是变量覆盖变量覆盖指的是用我们自定义的参数值替换程序原有的变量值, 通常来说,单独的变量覆盖漏洞很难有利用价值,需要和其他漏洞结合起来才能完成攻击 但在某些情况下,可可通过变量覆盖漏洞直接获取getshell 变量覆盖漏洞,很难通过黑盒测试发现,需要掌握白盒审计 漏洞原理 漏洞产生 经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,p...
php代码审计变量覆盖
aixuan9365的博客
03-09 264
变量覆盖一般由这四个函数引起 <?php $b=3; $a = array('b' => '1' ); extract($a,EXTR_OVERWRITE); print_r($b); //extract 有三种形式可能导致变量覆盖,第一种是第二个参数为EXTR_OVERWRITE,他表示如果有冲突,覆盖原有的变量。第二种情况是只传入第一个参数,默认为EXT...
PHP代码审计 ------ 变量覆盖漏洞
qq_62344745的博客
04-19 377
变量覆盖(Dynamic Variable Evaluation)是指变量未被初始化,我们自定义的参数值可以替换程序原有的变量值。
php变量覆盖,php变量覆盖
weixin_39842918的博客
03-10 174
全局变量覆盖register_globals用来注册全局变量当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而使用,这会造成全局变量覆盖新版本没有这个东西了parse_str变量覆盖php = 5.2parse_str("name=Bill&age=60",$myArray);print_r($myArray);?>//Array ( [nam...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值