变量覆盖

(Updated: )
Web

前言

变量覆盖指的是可以用我们自定义的参数值替换程序原有的变量值。

变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的有:extract(),parse_str()和import_request_variables()函数,以及”$$”。

$$

$$这种写法称为可变变量
一个可变变量获取了一个普通变量的值作为这个可变变量的变量名。

1
2
3
4
5
<?php
	$a = b;
	$b = 2;
	echo $$a;   // 2
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php
   include “flag.php”;

   $_403 = “Access Denied”;

   $_200 = “Welcome Admin”;

   if ($_SERVER["REQUEST_METHOD"] != “POST”)
   {
         die(“BugsBunnyCTF is here :p…”);
   }
   if ( !isset($_POST["flag"]) )
   {
         die($_403);
   }
   foreach ($_GET as $key => $value)
   {
         $$key = $$value;
   }
   foreach ($_POST as $key => $value)
   {
         $$key = $value;
   }
   if ( $_POST["flag"] !== $flag )
   {
         die($_403);
   }
   echo “This is your flag : “. $flag . “\n”;
   die($_200);
?>

题目分析

$_SERVER[‘REQUEST_METHOD’]为访问页面时的请求方法
foreach 语法结构提供了遍历数组的简单方式。foreach 仅能够应用于数组和对象,如果尝试应用于其他数据类型的变量,或者未初始化的变量将发出错误信息。
有两种语法:

1
2
3
4
foreach (array_expression as $value)  // 遍历给定的 array_expression 数组。每次循环中,当前单元的值被赋给 $value 并且数组内部的指针向前移一步(因此下一次循环中将会得到下一个单元)。
    statement
foreach (array_expression as $key => $value)  // 第二种格式做同样的事,只除了当前单元的键名也会在每次循环中被赋给变量 $key。
    statement

源码包含了flag.php文件,并且需要满足3个if里的条件才能获取flag,题目中使用了两个foreach并且也使用了$$.两个foreach中对 $$key的处理是不一样的,满足条件后会将$flag里面的值打印出来,所以$flag是在flag.php文件文件中的。

但是由于第7,11-14行间的代码会将flag的值给覆盖掉了,所以需要先将flag的值赋给_200或_403变量,然后利用die(_200)或die(_403)将flag打印出来。

解题方法

由于第7,11-14行间的代码会将$flag的值给覆盖掉,所以只能利用第一个foreach先将$flag的值赋给$_200,然后利用die($_200)将原本的flag值打印出来。

extract()函数

extract(array,extract_rules,prefix)
参数 描述
array 必需。规定要使用的数组。
extract_rules 可选。extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中已存在的变量名是否冲突。对不合法和冲突的键名的处理将根据此参数决定。
prefix 可选。请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php 
    if ($_SERVER["REQUEST_METHOD"] == “POST”) 
   {
        extract($_POST);
    
        if ($pass == $thepassword_123) 
       { 

            <div class=”alert alert-success”>

            <code><?php echo $theflag; ?></code>

            </div>

        } 
    }
?>

题目分析

题目要求使用POST提交数据,extract($_POST)会将POST的数据中的键名和键值转换为相应的变量名和变量值,利用这个覆盖$pass和$thepassword_123变量的值,从而满足pass==thepassword_123这个条件。

解题方法

使用POST请求提交pass=1&thepassword_123=1, 然后extract()会将接收到的数据将$pass和$thepassword_123变量的值覆盖为空,便满足条件了。
PAYLOAD:pass=1&thepassword_123=1

parse_str()函数

void parse_str ( string $encoded_string [, array &$arr ] )
参数 描述
encoded_string 必需。规定要解析的字符串。
arr 可选。规定存储变量的数组的名称。该参数指示变量将被存储到数组中。 
1
2
3
4
5
6
7
8
9
<?php
	$name=php;
	$age=100;
	parse_str("name=Bill&age=60",$aa);
	print_r($name);    // php
	print_r($age);     // 100
	print_r($aa[name]);      // Bill
	print_r($aa[age]);       // 60
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<meta charset="utf-8">
<?php
	error_reporting(0);
	if (empty($_GET['id'])) {
    	show_source(__FILE__);
    	die();
	}
	else
	{
    	include('flag.php');
		$a = "www.OPENCTF.com";
		$id = $_GET['id'];
		@parse_str($id);
		if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {
    		echo $flag;
	}
	else
	{
		exit('其实很简单其实并不难!');
	}
	}
?>

题目分析

首先要求使用GET提交id参数,然后parse_str($id)对id参数的数据进行处理,再使用判断a[0] != ‘QNKCDZO’ && md5(a[0]) == md5(‘QNKCDZO’)的结果是否为真,为真就返回flag,md5(‘QNKCDZO’)的结果是0e830400451993494058024219903391。

解题方法

使用GET请求id=a[0]=240610708,这样会将a[0]的值覆盖为240610708,然后经过md5后得到0e462097431906509019562988736854与md5(‘QNKCDZO’)的结果0e830400451993494058024219903391比较都是0 所以相等,满足条件,得到flag。

import_request_variables()

bool import_request_variables ( string $types [, string $prefix ] )

将 GET/POST/Cookie 变量导入到全局作用域中。

参数 描述
types 指定需要导入的变量。可以用字母‘G’、‘P’和‘C’分别表示 GET、POST 和 Cookie。这些字母不区分大小写,所以你可以使用‘g’、‘p’和‘c’的任何组合。POST 包含了通过 POST 方法上传的文件信息。注意这些字母的顺序,当使用“gp”时,POST 变量将使用相同的名字覆盖 GET 变量。任何 GPC 以外的字母都将被忽略。
prefix 为变量名的前缀,置于所有被导入到全局作用域的变量之前。虽然 prefix 参数是可选的,但如果不指定前缀,或者指定一个空字符串作为前缀,你将获得一个 E_NOTICE 级别的错误。 
1
2
3
4
5
6
7
8
<?php
if(isset($_REQUEST['btn_submit'])){
echo "正常取得的表单POST变量值:".$_REQUEST['Username']."<br />";
import_request_variables("pg", "import_");
//显示导入的变量名称
echo "使用import_request_variables函数导入的变量值:".$import_Username;
}
?>