變量覆蓋漏洞
經常引發變量覆蓋漏洞的函數有:extract(),parsestr()和importrequestvariables()和$$(可變變量)
$$可變變量引起的變量覆蓋漏洞
一、我們先來查看源代碼進行分析
1、Include 調用了flag.php文件
2、$_200,$403 定義兩個參數,以及參數值。
3、接着是兩個判斷語句,判斷訪問頁面的方法是否爲post方法和有沒有參數flag。
4、再接着兩個foreach函數遍歷數組函數,這裏就是把我們用get方法傳輸的數據當做數組進行遍歷,並將遍歷的參數賦值給key,將參數值複製給value。
5、還有一個if判斷語句,判斷用post方法傳輸的數據是不是和$flag的值相同,如果相同,輸出flag。
6、最後輸出$200的內容。
二、從源碼文件中可以看出,要想獲得flag,你必須知道原來的flag,那是不可能的。
這個時候我們就可以利用變量覆蓋漏洞。
1、我們可以看到在第一個數組
foreach ($_GET as $key => $value)
$$key = $$value這個遍歷中出現$$key = $$value,這裏將鍵和值又當做變量來使用。就這個題目來說,我們用get方法傳遞:_200=flag,經過$$key = $$value的處理後,就會變爲$_200=$flag,這樣就會將原來的$_200的值覆蓋掉,換成$flag的值
3、第二個數組遍歷
foreach ($_POST as $key => $value)
$$key = $value;這個遍歷中出現$$key = $value,這裏將只是將數組鍵當做下一個變量,將數組的值當做這個$$key的值。例如post方法傳入flag=abc,則處理後變成$flag=abc。這樣就造成將我們需要獲取的flag的值給覆蓋掉了。
三、通過多重分析,我們可先將$flag的值通過第一個數組遍歷賦值給$_200,然後通過die($_200)輸出出來,不過同時我們應該滿足源碼的判斷條件,通過post方法傳遞flag的值。這裏我們已經將flag的值給了$_200所以不用再擔心將flag的值覆蓋掉,可以隨便輸入。
四、所以我們的payload是:
Get方法傳輸:?_200=flag
Post方法傳輸:flag=abcde
五、驗證結果:
因爲是復現題目,flag有所差別。