變量覆蓋漏洞

先看一段代碼：

<?php

$a='aaa';
$aaa='xxx';
echo $$a; //$$a=$($a)=$(aaa)='xxx'

?>

最後回顯的是xxx，講實話，我第一次明白了這個原理後，不由吐槽，啥？這就是世界上最好的語言？？？這種低級錯誤還能有？

咱們再回到漏洞自己：

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<?php

$a='aa';
$aa='123';
echo '第一次變量aa的值是'.$aa.'<br>';
$$a=$_GET['name'];
echo '第二次變量aa的值是'.$aa.'<br>'; //$$a=$($a)=$aa=$_GET

?>

 

發現：代碼審計，掃描工具掃不出

變量覆蓋漏洞大多數由函數使用不當致使，常常引起變量覆蓋漏洞的函數有：extract(),parse_str()和import_request_variables()

織夢dedecms的2015年一次變量覆蓋：

http://www.xx.com/織夢網站後臺

/login.php?dopost=login&validate=dcug&useri

d=帳號&pwd=密碼& _POST[GLOBALS] 
[cfg_dbhost]=MYSQL外鏈IP&_POST[GLOBALS] [cfg_dbuser]=MYSQL的帳號

&_POST[GLOBALS][cfg_dbpwd]=MYSQL的密碼&

_POST[GLOBALS] [cfg_dbname]=本身的dedecms的數據庫

變量覆蓋致使重寫爲任意數據庫配置

 

 

這塊內容有點難懂，轉載下來時常翻：

 

1、全局變量覆蓋
當register_global=ON時，變量來源多是各個不一樣的地方，好比頁面的表單，Cookie等。

<?php
echo "Register_globals: ".(int)ini_get("register_globals")."<br/>";

if ($auth){
   echo "private!";
}
?>

 

當register_globals=OFF時，這段代碼不會出問題。
可是當register_globals=ON時，提交請求URL：http://www.a.com/test.php?auth=1,變量$auth將自動獲得賦值。獲得的結果爲
Register_globals:1

private!

小記：若是上面的代碼中，已經對變量$auth賦了初始值，好比$auth=0，那麼即便在URL中有/test.php?auth=1，也不會將變量覆蓋，也就是說不會打印出private！

利用：

經過$GLOBALS獲取的變量，也可能致使變量覆蓋。

 

<?php
echo "Register_globals:".(int)ini_get("register_globals")."<br/>";
if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
print $a;
print $_GET[b];
?>

 

變量$a未初始化，在register_globals=ON時，再嘗試控制「$a」的值（http://www.a.com/test1.php?a=1&b=2），會由於這段代碼而出錯。
而當嘗試注入「GLOBALS[a]」以覆蓋全局變量時（http://www.a.com/test1.php?GLOBALS[a]=1&b=2），則能夠成功控制變量「$a」的值。這是由於unset()默認只會銷燬局部變量，要銷燬全局變量必須使用$GLOBALS。
而在register_globals=OFF時，則沒法覆蓋到全局變量。
小記：register_globals的意思是註冊爲全局變量，因此當On的時候，傳遞過來的值會被直接註冊爲全局變量而直接使用，當爲OFF的時候，就須要到特定的數組中去獲得它。unset用於釋放給定的變量
2、extract()變量覆蓋

<?php

$auth = '0';
extract($_GET)；

if($auth==1){
echo "private!";
}else{
echo "public!";
}
?>

 

假設用戶構造如下連接：http://www.a.com/test1.php?auth=1
界面上會打印出private！

安全的作法是肯定register_globals=OFF後，在調用extract()時使用EXTR_SKIP保證已有變量不會被覆蓋。

小記：PHP extract() 函數從數組中把變量導入到當前的符號表中。對於數組中的每一個元素，鍵名用於變量名，鍵值用於變量值。

3、遍歷初始化變量

常見的一些以遍歷的方式釋放變量的代碼，可能會致使變量覆蓋。

    <?  
    $chs = '';  
    if($_POST && $charset != 'utf-8'){  
        $chs = new Chinese('UTF-8', $charset);  
        foreach($_POST as $key => $value){  
            $$key = $chs->Convert($value);  
        }  
        unset($chs);  
    }  
    ?>  

 

若提交參數chs，則可覆蓋變量"$chs"的值。

小記：在代碼審計時須要注意相似「$$k」的變量賦值方式有可能覆蓋已有的變量，從而致使一些不可控制的結果。

4、import_request_variables變量覆蓋

    <?php  
    $auth = '0';  
    import_request_variables('G');  
      
    if($auth == 1){  
      echo "private!";  
    }else{  
      echo "public!";  
    }  
    ?>  

 

當用戶輸入http://www.a.com/test1.php?auth=1時，網頁上會輸出private！

import_request_variables('G')指定導入GET請求中的變量，從而致使變量覆蓋。

小記：import_request_variables — 將 GET／POST／Cookie 變量導入到全局做用域中。若是你禁止了 register_globals，但又想用到一些全局變量，那麼此函數就頗有用。

5、parse_str()變量覆蓋

    //var.php?var=new  
    $var='init';  
    parse_str($_SERVER['QUERY_STRING']);  
    print $var;  

 

與parse_str()相似的函數還有mb_parse_str()

小記：parse_str — 將字符串解析成多個變量，若是參數str是URL傳遞入的查詢字符串（query string），則將它解析爲變量並設置到當前做用域。

 

 

修復，用到這些變量的時候，本身檢測可能性，尤爲是當foreach涉及鍵名鍵值時