1、 掌控安全 - Web安全微專業 講師：聶風 變量覆蓋變量覆蓋 等待開課等待開課 今日課程：變量覆蓋 等待其他同學入場（8.00-8.05） 8.05準時開講！ #好課程幫忙推# 快推薦同學、同事一起加入班級，來學習課程啦！ 推薦人可以得到500元的福利，被推薦者購買課程時可以享受折扣優惠哦！ #詳情聯系輔導員# 微信公眾號：掌控安全EDU #歡迎大家添加我的微信號：zkaq-niefeng 等待開課等待開課 本章內容本章內容 變量覆蓋 #本節主要內容總結 一、什么是變量覆蓋？ 二、函數解析 三、靶場實戰 什么是變量覆蓋？什么是變量覆蓋？ 什么是變量覆蓋？ 變量覆蓋指的是可以用我們的傳參值替換

2、程序原有的變量值 怎么去尋找變量覆蓋？ 經常導致變量覆蓋漏洞場景有：$使用不當，extract()函數使用不 當，parse_str()函數使用不當import_request_variables()使用不 當，開啟了全局變量注冊等。 變量覆蓋漏洞有的時候可以直接讓我們獲取Webshell，拿到服務器的權限 函數解析函數解析 經常引發變量覆蓋漏洞的函數有：經常引發變量覆蓋漏洞的函數有：extract() parse_str() extract() parse_str() import_request_variables()import_request_variables() extract()

3、函數（作用：將數組中將變量導入到當前的符號表） 給一個實例： Cat,b = Dog, c = Horse); extract($my_array); echo $a = $a; $b = $b; $c = $c; ? 運行結果：$a = Cat; $b = Dog; $c = Horse 函數解析函數解析 extract()函數（作用：從數組中將變量導入到當前的符號表） 我出了一道CTF題目 分析源碼我們可以知道， 1、文件將get方法傳輸進來的值通過extrace()函數處理。 2、通過兩個if語句分別判斷是否存在gift變量，和變量gift的值和變量content的值是否相等。變量con

4、tent的 值是通過讀取變量test的值獲取到的。如果兩個變量相等輸出flag。如果不相等，輸出錯誤。 似乎邏輯上沒啥問題，但是如果我們傳參了test呢？ 第一開始test在php中已經定義了，但是因為extrace()函數，我傳參test時相當于重新給test賦值對不對？因為 php執行語句是自上而下，那我傳的參數完全可以覆蓋掉之前所定義的 那么當我傳參gift=a$test=a 那么這里是不是就直接輸出flag了呢 （因為$content是由$test決定，$gift和$test都是我可以決定的） 函數解析函數解析 parse_str() 將查詢字符串解析到變量中： ?php parse_

5、str(name=zkaq echo $name.; echo $age; ? 輸出了zkaq和60 那么parse_str(name=Bill echo $a; ? 這個代碼會接受我們的GET提交、POST提交、COOKIE參數，將這個接受來的參數依次放入$_request $_key=$_value 這是個數組解析，實際上就是鍵值分離 正常而言$a = 1是一個定值，但是因為$_key的緣故,當我傳參a=2;那么$_key=addslashes($_value); 就變為了$a = 2 . 靶場實戰靶場實戰 我們靶場使用了多米cms2.0。 我們可以使用seay代碼審計工具去快速的找到危險

6、函數，這里是變量覆蓋的，所以特意自己加了一個匹配$ 的規則：($|$)$?$ 在系統配置的規則配置里面可以添加 靶場實戰靶場實戰 通過我們的seay審計工具，我們快速的發現了一個存在變量覆蓋的地方（duomiphpcommon.php文件） 看一看使用這個變量覆蓋需要滿足的條件 1.必須要有傳參 2.鍵名不能有cfg_和GLOBALS 3.COOKIE傳參中不能有$_k 漏洞分析：https:/ 靶場實戰靶場實戰 我們很明確的知道了，common.php文件存在變量覆蓋，那么我們去看下什么文件調用了他 很明顯在登錄的頁面調用了該文件，我們去login.php去看看，這個頁面似乎還調用了chec

7、k.admin.php，我 們去看看這個文件 通過看check.admin.php這個文件的備注，就能知道這個文件是控制session的，可以控制權限、id、用戶名， 那么我們是不是可以通過common.php進行一個偽造session呢？ 通過這里可以設置session值進行賦值來獲得權限，groupid是權限的意思，我們全文一搜索，輕松的發現 POC:interface/comment.php?_SESSIONduomi_group_id=1&_SESSIONduomi_admin_id=1&_SESSIONduomi_ admin_name=admin 作業作業 互動答疑互動答疑 #同時 歡迎大家添加我的微信號：zkaq-niefeng 提問時間到！ v課程回放會在一天內上傳至騰訊課堂！ 本節課程到此結束，謝謝大家，下節見！本節課程到此結束，謝謝大家，下節見！ #好課程幫忙推# 快推薦同