变量覆盖漏洞

什么是变量覆盖？
变量覆盖指的是可以用我们的传参值替换程序原有的变量值
如下

<?php
$a=123;
$a=1;
echo $a;
?>

怎么去寻找变量覆盖？

经常导致变量覆盖漏洞场景有：
$$使用不当，extract()函数使用不当，parse_str()函数使用不当import_request_variables()使用不当，开启了全局变量注册等。

经常引发变量覆盖漏洞的函数有：extract() parse_str() import_request_variables()

1.extract()

分析源码我们可以知道，

1、文件将get方法传输进来的值通过extrace()函数处理。

2、通过两个if语句分别判断是否存在gift变量，和变量gift的值和变量content的值是否相等。变量content的值是通过读取变量test的值获取到的。如果两个变量相等输出flag。如果不相等，输出错误。

似乎逻辑上没啥问题，但是如果我们传参了test呢？

第一开始test在php中已经定义了，但是因为extrace()函数，我传参test时相当于重新给test赋值对不对？因为php执行语句是自上而下，那我传的参数完全可以覆盖掉之前所定义的

那么当我传参gift=a&test=a，相当于 $g i f t = a;$ test=a
那么这里是不是就直接输出flag了呢（因为 $c o n t e n t 是由$ test决定， $g i f t 和$ test都是我可以决定的）

####2.parse_str()
parse_str() 将查询字符串解析到变量中：

<?php
	parse_str("name=zkaq&&age=60");
	echo $name."<br>";
	echo $age;
	?>

输出了zkaq和60

那么parse_str(“name=Bill&age=60”) 相当于完成了 $n a m e =^{'} z k a q^{'} 和$ age =‘60’

那么如果在parse_str中可以直接传参的话，那么是不是也可以覆盖变量呢。

不仅仅是函数会导致变量覆盖，有些特殊符号的特殊搭配也会引起变量覆盖漏洞，比如$$

$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现，如以下的示例代码，使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的值作为变量的值。因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖，变为test。

来，我们上一个例题：

<?php
$a = 1;
foreach(array('_COOKIE','_POST','_GET') as $_request) {
    
    
foreach($$_request as $_key=>$_value) //将键和键值分开
{
    
    $$_key=addslashes($_value);}}//addslashes，就是类似于一个魔术引号的作用
echo $a;
?>

这个代码会接受我们的GET提交、POST提交、COOKIE参数，将这个接受来的参数依次放入$_request
$_key=>$ _value 这是个数组解析，实际上就是键值分离
正常而言 $a = 1 是一个定值，但是因为$ $_key的缘故,当我传参a=2;那么$ $_key=addslashes($ _value);就变为了$a = 2 .