资料内容文稿第六期10 1变量覆盖.pptxVIP

掌控安全 - Web安全微专业 讲师：聂风 变量覆盖 等待开课 今日课程：变量覆盖 等待其他同学入场（8.00-8.05） 8.05准时开讲！ #好课程帮忙推# 快推荐同学、同事一起加入班级，来学习课程啦！ 推荐人可以得到500元的福利，被推荐者购买课程时可以享受折扣优惠哦！ #详情联系辅导员# 微信公众号：掌控安全EDU #欢迎大家添加我的微信号：zkaq-niefeng 等待开课 本章内容 变量覆盖 #本节主要内容总结 一、什么是变量覆盖？ 二、函数解析 三、靶场实战 什么是变量覆盖？ 什么是变量覆盖？ 变量覆盖指的是可以用我们的传参值替换程序原有的变量值 怎么去寻找变量覆盖？ 经常导致变量覆盖漏洞场景有：$$使用不当，extract()函数使用不当，parse_str()函数使用不当import_request_variables()使用不当，开启了全局变量注册等。 变量覆盖漏洞有的时候可以直接让我们获取Webshell，拿到服务器的权限 函数解析 经常引发变量覆盖漏洞的函数有：extract() parse_str() import_request_variables() extract()函数（作用：将数组中将变量导入到当前的符号表） 给一个实例： ?php $a = 1; $my_array = array(a = Cat,b = Dog, c = Horse); extract($my_array); echo \$a = $a; \$b = $b; \$c = $c; ? 运行结果：$a = Cat; $b = Dog; $c = Horse 函数解析 extract()函数（作用：从数组中将变量导入到当前的符号表） 我出了一道CTF题目 分析源码我们可以知道， 1、文件将get方法传输进来的值通过extrace()函数处理。 2、通过两个if语句分别判断是否存在gift变量，和变量gift的值和变量content的值是否相等。变量content的值是通过读取变量test的值获取到的。如果两个变量相等输出flag。如果不相等，输出错误。 似乎逻辑上没啥问题，但是如果我们传参了test呢？ 第一开始test在php中已经定义了，但是因为extrace()函数，我传参test时相当于重新给test赋值对不对？因为php执行语句是自上而下，那我传的参数完全可以覆盖掉之前所定义的 那么当我传参gift=atest=a，相当于$gift=a;$test=a 那么这里是不是就直接输出flag了呢 （因为$content是由$test决定，$gift和$test都是我可以决定的） 函数解析 parse_str() 将查询字符串解析到变量中： ?php parse_str(name=zkaqage=60); echo $name.br; echo $age; ? 输出了zkaq和60 那么parse_str(name=Billage=60) 相当于完成了$name =zkaq和$age =60 那么如果在parse_str中可以直接传参的话，那么是不是也可以覆盖变量呢。 函数解析 不仅仅是函数会导致变量覆盖，有些特殊符号的特殊搭配也会引起变量覆盖漏洞，比如$$ $$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现，如以下的示例代码，使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的值作为变量的值。因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖，变为test。 来，我们上一个例题： ?php $a = 1; foreach(array(_COOKIE,_POST,_GET) as $_request) { foreach($$_request as $_key=$_value) {$$_key=addslashes($_value);}} echo $a; ? 这个代码会接受我们的GET提交、POST提交、COOKIE参数，将这个接受来的参数依次放入$_request $_key=$_value 这是个数组解析，实际上就是键值分离 正常而言$a = 1是一个定值，但是因为$$_key的缘故,当我传参a=2;那么$$_key=addslashes($_value);就变为了$a = 2 . 靶场实战 我们靶场使用了多米cms2.0。 我们可以使用seay代码审计工具去快速的找到危险函数，这里是变量覆盖的，所以特意自己加了一个匹配$$的规则：([^\$]|$)\$\{?\$ 在系统配置的规则配置里面可以添加 靶场实战 通过我们的seay审计工具，我们快速的发现了一个存在变量覆盖的地方（duomi