变量覆盖漏洞

  • A+
所属分类:代码审计


变量覆盖漏洞


先看一段代码:

<?php
$a='aaa';$aaa='xxx';echo $$a; //$$a=$($a)=$(aaa)='xxx'
?>

最后回显的是xxx,讲实话,我第一次明白了这个原理后,不禁吐槽,啥?这就是世界上最好的语言???这种低级错误还能有?

我们再回到漏洞本身:

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/><?php
$a='aa';$aa='123';echo '第一次变量aa的值是'.$aa.'<br>';$$a=$_GET['name'];echo '第二次变量aa的值是'.$aa.'<br>'; //$$a=$($a)=$aa=$_GET
?>

变量覆盖漏洞

发现:代码审计,扫描工具扫不出

变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract(),parse_str()和import_request_variables()

织梦dedecms的2015年一次变量覆盖:

http://www.xx.com/织梦网站后台

/login.php?dopost=login&validate=dcug&useri

d=账号&pwd=密码& _POST[GLOBALS] 
[cfg_dbhost]=MYSQL外链IP&_POST[GLOBALS] [cfg_dbuser]=MYSQL的账号

&_POST[GLOBALS][cfg_dbpwd]=MYSQL的密码&

_POST[GLOBALS] [cfg_dbname]=自己的dedecms的数据库

变量覆盖导致重写为任意数据库配置


这块内容有点难懂,转载下来时常翻:

 

一、全局变量覆盖
当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单,Cookie等。

<?phpecho "Register_globals: ".(int)ini_get("register_globals")."<br/>";
if ($auth){ echo "private!";}?>

当register_globals=OFF时,这段代码不会出问题。
但是当register_globals=ON时,提交请求URL:http://www.a.com/test.php?auth=1,变量$auth将自动得到赋值。得到的结果为
Register_globals:1

private!

小记:如果上面的代码中,已经对变量$auth赋了初始值,比如$auth=0,那么即使在URL中有/test.php?auth=1,也不会将变量覆盖,也就是说不会打印出private!

利用:

通过$GLOBALS获取的变量,也可能导致变量覆盖。

<?phpecho "Register_globals:".(int)ini_get("register_globals")."<br/>";if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});print $a;print $_GET[b];?>

变量$a未初始化,在register_globals=ON时,再尝试控制“$a”的值(http://www.a.com/test1.php?a=1&b=2),会因为这段代码而出错。
而当尝试注入“GLOBALS[a]”以覆盖全局变量时(http://www.a.com/test1.php?GLOBALS[a]=1&b=2),则可以成功控制变量“$a”的值。这是因为unset()默认只会销毁局部变量,要销毁全局变量必须使用$GLOBALS。
而在register_globals=OFF时,则无法覆盖到全局变量。
小记:register_globals的意思是注册为全局变量,所以当On的时候,传递过来的值会被直接注册为全局变量而直接使用,当为OFF的时候,就需要到特定的数组中去得到它。unset用于释放给定的变量



二、extract()变量覆盖

<?php
$auth = '0';extract($_GET);
if($auth==1){echo "private!";}else{echo "public!";}?>

假设用户构造以下链接:http://www.a.com/test1.php?auth=1
界面上会打印出private!

安全的做法是确定register_globals=OFF后,在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖。

小记:PHP extract() 函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量名,键值用于变量值。


三、遍历初始化变量

常见的一些以遍历的方式释放变量的代码,可能会导致变量覆盖。

<?      $chs = '';      if($_POST && $charset != 'utf-8'){          $chs = new Chinese('UTF-8', $charset);          foreach($_POST as $key => $value){              $$key = $chs->Convert($value);          }          unset($chs);      }      ?>

若提交参数chs,则可覆盖变量"$chs"的值。

小记:在代码审计时需要注意类似“$$k”的变量赋值方式有可能覆盖已有的变量,从而导致一些不可控制的结果。


四、import_request_variables变量覆盖

<?php      $auth = '0';      import_request_variables('G');            if($auth == 1){        echo "private!";      }else{        echo "public!";      }      ?>

当用户输入http://www.a.com/test1.php?auth=1时,网页上会输出private!

import_request_variables('G')指定导入GET请求中的变量,从而导致变量覆盖。

小记:import_request_variables — 将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。


五、parse_str()变量覆盖

//var.php?var=new  $var='init';  parse_str($_SERVER['QUERY_STRING']);  print $var;

与parse_str()类似的函数还有mb_parse_str()

小记:parse_str — 将字符串解析成多个变量,如果参数str是URL传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域。

 

 

修复,用到这些变量的时候,自己检测可能性,尤其是当foreach涉及键名键值时



转载自博客,作者:DrKang 链接:https://www.cnblogs.com/drkang/p/8689205.html


如果觉得文章对你有帮助,请点击右下角“在看”

变量覆盖漏洞


本文始发于微信公众号(LemonSec):变量覆盖漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: