1.extract()变量覆盖

1.extract()

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。

extract(array,extract_rules,prefix)

参考引用:https://"; $id = $_GET['id']; @parse_str($id); // if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) { echo $flag; } else { exit("no no"); }}?>

分析代码 判断GET传入的id值是否为空为空的话输出源码终止程序，否则的话则接收id值 经过parse_str() 然后呢if判断 $a[0] 的值要不等于QNKCDZO

但$a[0]的md5值要等于QNKCDZO这里可以采用Hash比较缺陷来解决这一步 下来就是传入变量覆盖$a[0]的值 因为有parse_str所以我们可以构造payload:

payload:http://127.0.0.1/test.php?id=a[0]=s878926199a 

3.漏洞修复

为了防止变量覆盖，尽量使用指定输出变量方式

4.import_request_variables()变量覆盖

1.import_request_variables()

(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)

import_request_variables—将 GET／POST／Cookie 变量导入到全局作用域中

将 GET／POST／Cookie 变量导入到全局作用域中。如果你禁止了register_globals，但又想用到一些全局变量，那么此函数就很有用。

import_request_variables ( string $types [, string $prefix ] ) : bool

参考引用:https://www.php.net/manual/zh/function.import-request-variables.php

2.CTF中import_request_variables()导致的变量覆盖

<?php$num=0;//include 'flag.php';import_request_variables('gp'); //导入get和post中变量if($num=="xiaohua"){ echo 'flag{ xiaohua-2020-3-28}'; // echo $flag.php;}else{ echo "NO!";}?> //payload：http://127.0.0.1/test.php?num=xiaohua//flag{ xiaohua-2020-3-28}

3.漏洞修复

尽量不要使用....

5.PHP全局变量覆盖

1.register_globals

当register_globals全局变量设置开启时，传递过来的值会被直接注册为全局变量而使用，这会造成全局变量覆盖

在PHP5.3之前 默认开启 PHP5.3默认关闭 PHP5.6及5.7已经被移除

2.CTF中全局变量覆盖

测试环境:php5.2.17

<?phpif ($num){ echo "flag{xiaohua-2020-3-28}";}?> //payload：http://127.0.0.1/test.php?num=1//flag{xiaohua-2020-3-28}

3.漏洞修复

关闭register_globals=off 或者使用5.6以上版本。。

到此这篇关于PHP中的变量覆盖漏洞深入解析的文章就介绍到这了,更多相关PHP中的变量覆盖漏洞内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持！