一.$$引起的变量覆盖漏洞,
1、Include 调用了flag.php文件(调用文件还可以有require_once()或者require());
2、$_200,$_403 定义两个参数,以及参数值。
3、判断访问页面的方法是否为post方法和有没有参数flag。
4、再接着两个foreach函数遍历数组函数,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。
5、还有一个if判断语句,判断用post方法传输的数据是不是和$flag的值相同,如果相同,输出flag。
6、最后输出$_200的内容。
我们可以看到第一个foreach遍历中,
foreach ($_GET as $key => $value) $$key = $$value
这里出现了$$key = $$value,传入的键值$会当做变量,例如,我们传入_200=flag,经过处理后变成$_200=$flag,则$_200的值被覆盖为$flag的值。
第二个foreach遍历,
foreach ($_POST as $key => $value) $$key = $value;
出现了$$key = $value;如post方法传入flag=abc,则处理后变成$flag=abc。这样就造成将我们需要获取的flag的值给覆盖掉了。
所以如果在CTF中获得flag,我们需要先将$flag的值覆盖$_200或$_403的值,然后输出$_200或$_403。
二,Extract()函数引起的变量覆盖漏洞
该函数使用键名当做变量名,键值当做变量值,如果有相同的变量名,则默认覆盖原有的变量值。
1、文件将get方法传输进来的值通过extrace()函数处理。
2、通过两个if语句分别判断是否存在gift变量,和变量gift的值和变量content的值是否相等。变量content的值是通过读取变量test的值获取到的。如果两个变量相等输出flag。如果不相等,输出错误。
$GET[‘test’]=’a’,处理后$test=a,覆盖了原来的空,即$test="",此时只需$gift=a,可以实现$gift=$content;成功拿到flag。
三,Parse_str()函数引起的变量覆盖漏洞
parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量将覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值
<?php error_reporting(0); if (empty($_GET['id'])) { show_source(__FILE__); die(); } else { include (‘flag.php’); $a = “www.OPENCTF.com $id = $_GET['id']; @parse_str($id); if ($a[0] != ‘QNKCDZO’ && md5($a[0]) == md5(‘QNKCDZO’)) { echo $flag; } else { exit(‘其实很简单其实并不难!’); } } ?>
1.@parse_str($id)把查询字符串解析到变量中,没有使用array选项,若有同名变量,将原来的覆盖。我们可以用?id=a[0]将原来的$a的值给覆盖掉。
2.$a[0] != ‘QNKCDZO‘ && md5($a[0]) == md5(‘QNKCDZO‘)判断$a[0]的值不是QNKCDZO并且$a[0]的MD5值要和QNKCDZO的MD5值相同。
因为主要介绍变量覆盖,所以接下来的解题方法就不说了。核心思路就是用?id=a[0]=********覆盖$a的值满足后续要求。
学习自:https://www.cnblogs.com/bmjoker/p/9025351.html