一、漏洞介绍
变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击
二、漏洞函数
变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract(),parse_str()和import_request_variables()
1、extract()
目前最常见的就是这个函数,使用频率最高,导致的漏洞也最多
extract(array,extract_rules,prefix)
| 参数 | 描述 |
|---|---|
| array | 必需。规定要使用的输入。 |
| extract_rules (可选) |
extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中的变量名是否冲突。 对非法、数字和冲突的键名的处理将根据此参数决定。可以是以下值之一: 可能的值:
|
| prefix(可选) |
请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。 前缀和数组键名之间会自动加上一个下划线。 |
从以上说明我们可以看到第一个参数是必须的,会不会导致变量覆盖漏洞由第二个参数决定,该函数有三种情况会覆盖已有变量。
1 <?php 2 $a = 1; //原变量值为1 3 $b = array('a' => '3'); 4 extract($b); //经过extract()函数对$b处理后 5 echo $a; //输出结果为3 6 ?>
2、parse_str函数
parse_str函数的作用就是解析字符串并注册成变量,在注册变量之前不会验证当前变量是否存在,所以直接覆盖掉已有变量
void parse_str ( string $str [, array &$arr ] )
参数:
str输入的字符串。arr如果设置了第二个变量arr,变量将会以数组元素的形式存入到这个数组,作为替代。
1 <?php 2 $a = 1; //原变量值为1 3 parse_str('a=2'); //经过parse_str()函数后注册变量$a,重新赋值 4 print_r($b); //输出结果为2 5 ?>
3、 import_request_variables()
import_request_variables()函数就是把GET、POST、COOKIE的参数注册成变量,用在register_globals被禁止的时候
bool import_request_variables ( string $types [, string $prefix ] )
$type代表要注册的变量,G代表GET,P代表POST,C代表COOKIE,第二个参数为要注册变量的前缀
<?php $a = 1; //原变量值为1 import_request_variables('GP'); //传入参数时注册变量 print_r($a); //输出结果为2 ?>
三、挖掘经验
由于变量覆盖漏洞通常要结合应用其他功能代码来实现完整攻击,所以挖掘一个可用的变量覆盖漏洞不仅仅要考虑的是能够实现变量覆盖,还要考虑后面的代码能不能让这个漏洞利用起来。