代码审计变量覆盖漏洞详解

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了代码审计变量覆盖漏洞详解相关的知识,希望对你有一定的参考价值。

一、漏洞介绍

变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击

二、漏洞函数

变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract(),parse_str()和import_request_variables()

1、extract()

  目前最常见的就是这个函数,使用频率最高,导致的漏洞也最多

   extract(array,extract_rules,prefix) 

 参数描述
array 必需。规定要使用的输入。
extract_rules (可选)         

extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中的变量名是否冲突。

对非法、数字和冲突的键名的处理将根据此参数决定。可以是以下值之一:

可能的值:

  • EXTR_OVERWRITE - 默认。如果有冲突,则覆盖已有的变量。
  • EXTR_SKIP - 如果有冲突,不覆盖已有的变量。(忽略数组中同名的元素)
  • EXTR_PREFIX_SAME - 如果有冲突,在变量名前加上前缀 prefix。自 php 4.0.5 起,这也包括了对数字索引的处理。
  • EXTR_PREFIX_ALL - 给所有变量名加上前缀 prefix(第三个参数)。
  • EXTR_PREFIX_INVALID - 仅在非法或数字变量名前加上前缀 prefix。本标记是 PHP 4.0.5 新加的。
  • EXTR_IF_EXISTS - 仅在当前符号表中已有同名变量时,覆盖它们的值。其它的都不处理。可以用在已经定义了一组合法的变量,然后要从一个数组例如 $_REQUEST 中提取值覆盖这些变量的场合。本标记是 PHP 4.2.0 新加的。
  • EXTR_PREFIX_IF_EXISTS - 仅在当前符号表中已有同名变量时,建立附加了前缀的变量名,其它的都不处理。本标记是 PHP 4.2.0 新加的。
  • EXTR_REFS - 将变量作为引用提取。这有力地表明了导入的变量仍然引用了 var_array 参数的值。可以单独使用这个标志或者在 extract_type 中用 OR 与其它任何标志结合使用。本标记是 PHP 4.3.0 新加的。
prefix(可选)

请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。

前缀和数组键名之间会自动加上一个下划线。

  从以上说明我们可以看到第一个参数是必须的,会不会导致变量覆盖漏洞由第二个参数决定,该函数有三种情况会覆盖已有变量。

1 <?php
2 $a = 1;    //原变量值为1
3 $b = array(‘a‘ => ‘3‘);
4 extract($b);    //经过extract()函数对$b处理后
5 echo $a;    //输出结果为3
6 ?>

2、parse_str函数

  parse_str函数的作用就是解析字符串并注册成变量,在注册变量之前不会验证当前变量是否存在,所以直接覆盖掉已有变量

   void parse_str ( string $str [, array &$arr ] ) 

  参数:

  str  输入的字符串。
  arr  如果设置了第二个变量 arr,变量将会以数组元素的形式存入到这个数组,作为替代。
1 <?php
2 $a = 1;    //原变量值为1
3 parse_str(‘a=2‘);   //经过parse_str()函数后注册变量$a,重新赋值
4 print_r($b);  //输出结果为2
5 ?>

3、 import_request_variables() 

  import_request_variables()函数就是把GET、POST、COOKIE的参数注册成变量,用在register_globals被禁止的时候

  bool import_request_variables ( string $types [, string $prefix ] )

  $type代表要注册的变量,G代表GET,P代表POST,C代表COOKIE,第二个参数为要注册变量的前缀

<?php
$a = 1;    //原变量值为1
import_request_variables(‘GP‘);   //传入参数时注册变量
print_r($a);  //输出结果为2
?>

三、挖掘经验

  由于变量覆盖漏洞通常要结合应用其他功能代码来实现完整攻击,所以挖掘一个可用的变量覆盖漏洞不仅仅要考虑的是能够实现变量覆盖,还要考虑后面的代码能不能让这个漏洞利用起来。


以上是关于代码审计变量覆盖漏洞详解的主要内容,如果未能解决你的问题,请参考以下文章

php代码审计整理

代码审计系列:审计思路学习笔记

代码审计系列:审计思路学习笔记

bugku 代码审计

代码审计VAuditDemo 重装漏洞

[代码审计]ThinkPHP5的文件包含漏洞