变量覆盖漏洞

先看一段代码：

<?php

$a='aaa';
$aaa='xxx';
echo $$a; //$$a=$($a)=$(aaa)='xxx'

?>

最后回显的是xxx，讲实话，我第一次明白了这个原理后，不由吐槽，啥？这就是世界上最好的语言？？？这种低级错误还能有？

咱们再回到漏洞自己：

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<?php

$a='aa';
$aa='123';
echo '第一次变量aa的值是'.$aa.'<br>';
$$a=$_GET['name'];
echo '第二次变量aa的值是'.$aa.'<br>'; //$$a=$($a)=$aa=$_GET

?>

 

发现：代码审计，扫描工具扫不出

变量覆盖漏洞大多数由函数使用不当致使，常常引起变量覆盖漏洞的函数有：extract(),parse_str()和import_request_variables()

织梦dedecms的2015年一次变量覆盖：

http://www.xx.com/织梦网站后台

/login.php?dopost=login&validate=dcug&useri

d=帐号&pwd=密码& _POST[GLOBALS] 
[cfg_dbhost]=MYSQL外链IP&_POST[GLOBALS] [cfg_dbuser]=MYSQL的帐号

&_POST[GLOBALS][cfg_dbpwd]=MYSQL的密码&

_POST[GLOBALS] [cfg_dbname]=本身的dedecms的数据库

变量覆盖致使重写为任意数据库配置

 

 

这块内容有点难懂，转载下来时常翻：

 

1、全局变量覆盖
当register_global=ON时，变量来源多是各个不一样的地方，好比页面的表单，Cookie等。

<?php
echo "Register_globals: ".(int)ini_get("register_globals")."<br/>";

if ($auth){
   echo "private!";
}
?>

 

当register_globals=OFF时，这段代码不会出问题。
可是当register_globals=ON时，提交请求URL：http://www.a.com/test.php?auth=1,变量$auth将自动获得赋值。获得的结果为
Register_globals:1

private!

小记：若是上面的代码中，已经对变量$auth赋了初始值，好比$auth=0，那么即便在URL中有/test.php?auth=1，也不会将变量覆盖，也就是说不会打印出private！

利用：

经过$GLOBALS获取的变量，也可能致使变量覆盖。

 

<?php
echo "Register_globals:".(int)ini_get("register_globals")."<br/>";
if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
print $a;
print $_GET[b];
?>

 

变量$a未初始化，在register_globals=ON时，再尝试控制“$a”的值（http://www.a.com/test1.php?a=1&b=2），会由于这段代码而出错。
而当尝试注入“GLOBALS[a]”以覆盖全局变量时（http://www.a.com/test1.php?GLOBALS[a]=1&b=2），则能够成功控制变量“$a”的值。这是由于unset()默认只会销毁局部变量，要销毁全局变量必须使用$GLOBALS。
而在register_globals=OFF时，则没法覆盖到全局变量。
小记：register_globals的意思是注册为全局变量，因此当On的时候，传递过来的值会被直接注册为全局变量而直接使用，当为OFF的时候，就须要到特定的数组中去获得它。unset用于释放给定的变量
2、extract()变量覆盖

<?php

$auth = '0';
extract($_GET)；

if($auth==1){
echo "private!";
}else{
echo "public!";
}
?>

 

假设用户构造如下连接：http://www.a.com/test1.php?auth=1
界面上会打印出private！

安全的作法是肯定register_globals=OFF后，在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖。

小记：PHP extract() 函数从数组中把变量导入到当前的符号表中。对于数组中的每一个元素，键名用于变量名，键值用于变量值。

3、遍历初始化变量

常见的一些以遍历的方式释放变量的代码，可能会致使变量覆盖。

    <?  
    $chs = '';  
    if($_POST && $charset != 'utf-8'){  
        $chs = new Chinese('UTF-8', $charset);  
        foreach($_POST as $key => $value){  
            $$key = $chs->Convert($value);  
        }  
        unset($chs);  
    }  
    ?>  

 

若提交参数chs，则可覆盖变量"$chs"的值。

小记：在代码审计时须要注意相似“$$k”的变量赋值方式有可能覆盖已有的变量，从而致使一些不可控制的结果。

4、import_request_variables变量覆盖

    <?php  
    $auth = '0';  
    import_request_variables('G');  
      
    if($auth == 1){  
      echo "private!";  
    }else{  
      echo "public!";  
    }  
    ?>  

 

当用户输入http://www.a.com/test1.php?auth=1时，网页上会输出private！

import_request_variables('G')指定导入GET请求中的变量，从而致使变量覆盖。

小记：import_request_variables — 将 GET／POST／Cookie 变量导入到全局做用域中。若是你禁止了 register_globals，但又想用到一些全局变量，那么此函数就颇有用。

5、parse_str()变量覆盖

    //var.php?var=new  
    $var='init';  
    parse_str($_SERVER['QUERY_STRING']);  
    print $var;  

 

与parse_str()相似的函数还有mb_parse_str()

小记：parse_str — 将字符串解析成多个变量，若是参数str是URL传递入的查询字符串（query string），则将它解析为变量并设置到当前做用域。

 

 

修复，用到这些变量的时候，本身检测可能性，尤为是当foreach涉及键名键值时