php代码审计之变量覆盖

Posted 羊小弟

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了php代码审计之变量覆盖相关的知识,希望对你有一定的参考价值。

变量覆盖一般由这四个函数引起

<?php 
$b=3;
$a = array(‘b‘ => ‘1‘ );
extract($a,EXTR_OVERWRITE);
print_r($b);
//extract 有三种形式可能导致变量覆盖,第一种是第二个参数为EXTR_OVERWRITE,他表示如果有冲突,覆盖原有的变量。第二种情况是只传入第一个参数,默认为EXTR_OVERWRITE模式,第三种是第二个参数为EXTR_IF_EXISTS,他表示在当前符号表中已有同名变量时,覆盖它们的值,其他的都不注册新变量.
//关键字:extract,EXTR_OVERWRITE
//参考漏洞:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-096990.html
?>

  

<?php
$b=3;
parse_str(‘b=2‘);
print_r($b);
//parse_str()的作用是解析注册成变量的字符串,第二个参数$arr是一个数组
//关键字:parse_str()
//
?>

  

<?php
$b=3;
import_request_variables(‘GP‘);
print_r($b);
//import_request_variables()作用是把GET,POST,COOKIE的参数注册成变量,用在register_globals被禁用的时候,需要PHP在4.1到5.4之间的版本。
//关键字:import_request_variables
?>

  

<?php
$b=3;
foreach (array(‘_COOKIE‘,‘_POST‘,‘_GET‘) as $_REQUEST) {
	foreach ($$_REQUEST as $_key => $_value) {
		echo $_key.‘<br />‘;
		$$_key=addcslashes($_value);
	}
}
echo $b;

//$$变量覆盖
//关键字: $$
?>

  

 

 

对于核心文件,早期的cms一般会有这样的GPC声明

if (0 < count($_COOKIE)) {

	foreach ($_COOKIE as $s_key => $s_value ) {

		$_COOKIE[$s_key] = addslashes(strip_tags($s_value));

		$$s_key = $_COOKIE[$s_key];

	}



	reset($_COOKIE);

}

 

(1)$$导致变量覆盖,这时候我们只要找出变量没有未初始声明,就进入sql查询或者include包含文件中,就会产生漏洞。
(2)变量函数(变量1,变量2);由于开启全局注册,又post被extract,导致变量覆盖,变量作为函数执行,最终形成代码执行。
(3)变量在if中声明的,如果不经过if的话,变量算是没有声明的,就可以进行变量覆盖。
(4)etc

 

以下是这几天看的比较经典的漏洞,从excel复制出来的

wooyun-2016-0168661 通达OA 2015多处漏洞合集 全局变量覆盖
wooyun-2015-0131548 phpcms一个函数引起的安全漏洞 parse_str变量覆盖二次解码导致注入
wooyun-2015-0126295 MetInfo最新版SQL注入一枚 没有单引号包裹,并且变量覆盖
wooyun-2015-095672 ThinkSNS任意代码执行漏洞 变量覆盖后有个include 变量,导致extract覆盖include 变量
wooyun-2014-088251 从ThinkPHP谈基于框架开发程序的安全性 变量覆盖后有个include 变量,导致extract覆盖include的变量
wooyun-2014-080524 齐博地方门户鸡肋文件包含造成的高危SQL注入 前台文件包含,包含存在extract的get变量并且require_once不在包含全局应用,造成变量覆盖
wooyun-2011-01732 mvmmall网店商城系统注入漏洞 变量在if中声明的,如果不经过if的话,变量算是没有声明的,就可以进行变量覆盖
wooyun-2013-017119 PhpcmsV9 任意用户密码修改逻辑漏洞 没看懂
wooyun-2013-023501 phpshe不花钱直接完成订单支付! 变量覆盖订单参数的状态
wooyun-2013-023693 ACFUN分站再次GETSHELL变量覆盖漏洞分析与利用 变量作为函数执行,变量函数(变量1,变量2),由于开启全局注册,又post被extract,导致变量覆盖
wooyun-2013-039281 Destoon最新全版本通杀SQL注入漏洞 诠释了require














以上是关于php代码审计之变量覆盖的主要内容,如果未能解决你的问题,请参考以下文章

php代码审计整理

CTF-代码审计——parse_str()变量覆盖

代码审计常见场景之CSRF与变量覆盖

代码审计-extract变量覆盖

ctf代码审计:

[代码审计]ThinkPHP 5.0.x 变量覆盖导致的RCE分析