变量覆盖-高级篇(动态覆盖,extract综合)
0x00 原理
变量覆盖漏洞可以让用户定义的变量值覆盖原有程序变量,可控制原程序逻辑。
0x01 代码
<?php highlight_file('index.php'); function waf($a){ foreach($a as $key => $value){ if(preg_match('/flag/i',$key)){ exit('are you a hacker'); } } }foreach(array('_POST', '_GET', '_COOKIE') as $__R) { if($$__R) { foreach($$__R as $__k => $__v) { if(isset($$__k) && $$__k == $__v) unset($$__k); } } } if($_POST) { waf($_POST);} if($_GET) { waf($_GET); } if($_COOKIE) { waf($_COOKIE);} if($_POST) extract($_POST, EXTR_SKIP); if($_GET) extract($_GET, EXTR_SKIP); if(isset($_GET['flag'])){ if($_GET['flag'] === $_GET['daiker']){ exit('error'); } if(md5($_GET['flag'] ) == md5($_Ginclude($_GET['file']){ echo 'flag={你猜猜}'; } } ?>
0x02 代码审计
首先对一下代码进行分析
function waf($a){ foreach($a as $key => $value){ if(preg_match('/flag/i',$key)){ exit('are you a hacker'); } } }
我们知道foreach是php遍历数组的一种方式,这里waf函数遍历$a里面的变量名和变量值,如果变量名中含有flag,则报错
foreach(array('_POST', '_GET', '_COOKIE') as $__R) { if($$__R) { foreach($$__R as $__k => $__v) { if(isset($$__k) && $$__k == $__v) unset($$__k); } } }
将_POST,_GET,_COOKIE中的值作为 $__R 值判断,是否存在以 $__R 值为变量名的变量,如果有 继续遍历这个变量里的变量名和变量值,如果有里面的变量名存在而且变量名等于变量值就销毁变量__k 。。这样说确实有点乱,但是后面这段foreach 和 熟悉的$$ 应该能想到是通过GET 进行传参。也就是说 $__k==$_GET[flag] ,因为后面要判断flag传参,所以这里只能是flag。 $$__k 是取 $_GET[flag]中的值作为变量名, 之后结合实战可能更好理解点吧
if($_POST) { waf($_POST);} if($_GET) { waf($_GET); } if($_COOKIE) { waf($_COOKIE);} if($_POST) extract($_POST, EXTR_SKIP); if($_GET) extract($_GET, EXTR_SKIP); if(isset($_GET['flag'])){ if($_GET['flag'] === $_GET['daiker']){ exit('error'); } if(md5($_GET['flag'] ) == md5($_GET['daiker'])){ echo 'flag={你猜猜}'; } }
通过 if 判断 是否存在POST,GET,COOKIE 变量传参,如果存在 用waf去检测 然后再使用extract(_POST, EXTR_SKIP),extract(_GET, EXTR_SKIP)将变量写入符号表保存起来,而且使用到EXTR_SKIP关键字后不会覆盖之前的变量。 最后判断是否通过flag进行了传参,传了后,将$flag中的值和$daiker进行比较,相同则结束, 不相同 则 通过md5加密 进行比较,这里存在个php若类型, 我们可以通过两种md5加密后为0e开头的字符串进行绕过,比如QNKCDZO和s878926199a
0x03 实战
虽然waf函数是最先定义的,但是它是在消除变量后使用的,也就是说题目意思其实是让我们先进行变量清除-》unset函数,不然无法绕过waf函数。因为waf函数匹配了'_POST', '_GET', '_COOKIE',而且后面有要求是通过flag进行传参,所以只能先通过flag和daiker传入对应的值。 简单测试一下吧
<?php highlight_file('index.php'); function waf($a){ foreach($a as $key => $value){ if(preg_match('/flag/i',$key)){ exit('are you a hacker'); } } }foreach(array('_POST', '_GET', '_COOKIE') as $__R) { if($$__R) { foreach($$__R as $__k => $__v) { if(isset($$__k) && $$__k == $__v) unset($$__k); echo '成功消除函数'; } } } var_dump($_POST); if($_POST) { waf($_POST);} if($_GET) { waf($_GET); } if($_COOKIE) { waf($_COOKIE);} if($_POST) extract($_POST, EXTR_SKIP); if($_GET) extract($_GET, EXTR_SKIP); if(isset($_GET['flag'])){ if($_GET['flag'] === $_GET['daiker']){ exit('error'); } if(md5($_GET['flag'] ) == md5($_Ginclude($_GET['file']){ echo 'flag={你猜猜}'; } } ?>
其实如果理清了思路,多测测就能得到flag了,但是想要深入了解 foreach 是不行的,这里我们构造GET:?_POST[flag]&_POST[daiker] POST: flag=&daike= 来做个小实验
可以说明当我们传入?_POST[flag]&_POST[daiker]时 ,$_GET 保存了 以 _POST为键 值为 flag 和daiker 的数组 的数组。然后通过foreach遍历因为有'_POST', '_GET', '_COOKIE' 所以总共遍历了3次, 遍历到_GET取出数组赋值到$__R保存,$$__R其实就是$_POST 判定是否存在POST,这里我们是POST提交了参数的,所以存在,继续执行,取出里面的键和值 其实就是 flag:NULL 和 daiker:NULL 判断是否存在 $flag 由于我们POST提交了 flag和daiker,所以它遍历时可判断存在$flag,而且post提交的flag的值正好和GET里flag值一样都为空,通过unset 消去了匹配到的$flag和$daiker,使得$_POST里面没了内容。
<?php highlight_file('index.php'); function waf($a){ foreach($a as $key => $value){ if(preg_match('/flag/i',$key)){ exit('are you a hacker'); } } }foreach(array('_POST', '_GET', '_COOKIE') as $__R) { if($$__R) { foreach($$__R as $__k => $__v) { if(isset($$__k) && $$__k == $__v) unset($$__k); echo '成功消除函数'; } } } if($_POST) { waf($_POST);} if($_GET) { waf($_GET); } if($_COOKIE) { waf($_COOKIE);} if($_POST) extract($_POST, EXTR_SKIP); if($_GET) extract($_GET, EXTR_SKIP); var_dump($_POST); if(isset($_GET['flag'])){ if($_GET['flag'] === $_GET['daiker']){ exit('error'); } if(md5($_GET['flag'] ) == md5($_Ginclude($_GET['file']){ echo 'flag={你猜猜}'; } } ?>
根据上面的运行结果我们可以看到之前被消去的$_POST突然回来了,赋值后应该会明显点。 也就是说知道了这个原理,我们可以通过GET: ?flag=aa&daiker=bb POST: _GET[flag]=aa&_POST[daiker]=bb , 之前故意调换顺序的就是为了让这里变得更加清楚点。 这里正好和前面反过来,GET传进去了后 遍历时就存在 flag 变量 而\$_GET[flag] 通过 foreach 进行键值得配对,最后删除了_GET中的$flag和$daiker,然后通过extract函数, 对extract进行测试
<?php if($_POST){ extract($_POST, EXTR_SKIP); echo '成功'; } var_dump($_GET); ?>
测试失败,说明 extract 是不能直接进行变量的覆盖的,那只能说明 unset 没有删除干净了,可能涉及到指针吧,如果unset是使用引用置NULL,而extract是通过指针访问数组内存的话就有可能,因为内存地址保存的值还是原来的GET,通过extract可以获取到之前GET中的值,从而绕过了unset。
因为_GET虽然没了但是POST_存在,会通过指针去访问原来保存了_GET变量的内存地址,直接取出原来的值。(感觉设置不能覆盖之前变量的关键字也和内存地址有干系)。 知道了这个原理,后面的弱类型也就简单了,只要把aa和bb改成QNKCDZO和s878926199a,尝试一下。
成功爆出flag,但是我想看看 extract 是如何覆盖的。
- AXURE 7.0高级学习心得——中继器、热区、动态面板、全局变量、内联框架、模板、组合、团队合作等
- java变量和方法的覆盖和隐藏(翻译自Java Tutorials)
- Javascript高级程序设计第二版第四章--变量,作用域及内存问题--笔记
- 简单批处理程序 dos for循环及动态调用含有变量的文件
- 动态SQL中变量赋值
- 批处理,变量,逻辑控制,函数,高级查询(含存储过程)的SQL SERVER 高级操作
- 变量覆盖
- zjnu1181 石子合并【基础算法・动态规划】——高级
- jsp include file(变量) 动态加载文件
- JavaScript高级程序设计之DOM之DOM 操作技术之动态样式第10.2.2讲
- 齐博CMS变量覆盖漏洞exp
- highcharts 高级应用—动态柱状图的实现
- Excel数据分析高级技巧①——动态图表制作(offset,vlookup,控件…)
- 条件变量posix多线程有感--线程高级编程(条件变量属性)
- SQLSERVER 表名数据库名作为变量 必须使用动态SQL(源自网络)
- 动态分配及对动态申请获得的结构体变量进行访问
- JS动态变量名 或 字符串与已有变量对应
- Python 动态类型 变量基本上是动态变量
- Runtime – 获取成员变量、值、动态创建类
- 题解:逻辑运算符、运算符的优先级、声明变量和声明函数的提升优先级、原型继承、闭包、覆盖等知识点。