一、漏洞简介
变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。
变量覆盖漏洞大多数由函数使用不当导致,经常引发变量覆盖漏洞的函数有:extract(), parse_str()和import_request_variables()
通常来说,单独的变量覆盖漏洞很难有利用价值,需要和其他漏洞结合起来才能完成攻击
二、漏洞原理
2.1 extract()函数
先看看 extract() 函数说明:
extract(array,extract_rules,prefix)
函数从数组中将变量导入到当前的符号表,即将数组中的键值对注册成函数,使用数组键名作为变量名,使用数组键值作为变量值。
该函数的变量覆盖隐患就出在第二个参数上面:
当第二个参数为空或者 EXTR_OVERWRITE 时,变量注册如果遇到冲突会直接覆盖掉原变量。
当第二个变量为 EXTR_IF_EXISTS 时,仅当原变量已存在是对其进行更新,否则不注册新变量。
示例代码如下:
<?php
$a = 1;
print_r("extract()执行之前:\$a = ".$a."<br />");
$b = array('a'=>'2');
extract($b);
print_r("extract()执行之后:\$a = ".$a."<br />");
?>
Firefox中加载此页面:
可以看到extract()函数执行之后,将变量$a的值覆盖,
2.2 parse_str()函数
parse_str()函数说明:
parse_str(string,array)
函数把查询字符串解析并注册为变量,主要用于页面之间传值(参数)。
该函数在注册变量之前不会验证当前变量是否已存在,如果存在会直接覆盖。
示例代码如下:
<?php
$a = 1;
print_r("parse_str()执行之前:\$a = ".$a."<br />");
parse_str("a=2");
print_r("parsr_str()执行之后:\$a = ".$a."<br />");
?>
Firefox 中打开此页面 :
可以看到,变量 $a 的值被覆盖。
2.3 import_request_variables() 函数
import_request_variables() 函数说明:
import_request_variables ( string $types , string $prefix )
将 GET/POST/Cookie 变量导入到全局作用域中, types 参数指定需要导入的变量, G代表GET,P代表POST,C代表COOKIE.
示例代码:
<?php
$a = 1;
import_request_variables('GP');
print_r($a);
?>
此页面当使用GET或POST传递$a变量时,会将原变量的值覆盖。
值得注意的是:此函数只能用在 PHP4.1 ~ PHP5.4之间。
三、变量覆盖漏洞防范
3.1 extract()函数防御
将 extract.php 中 extract() 函数第二个参数修改为 extr_skip :
<?php
$a = 1;
print_r("extract()执行之前:\$a = ".$a."<br />");
$b = array('a'=>'2');
extract($b,extr_skip);
print_r("extract()执行之后:\$a = ".$a."<br />");
?>
再次运行之后,可以看到变量没有再被覆盖:
parse_str()函数防御
parse_str() 函数的防范,只能我们自己添加判断语句,比如:
<?php
$a = 1;
print_r("parse_str()执行之前:\$a = ".$a."<br />");
if(!isset($a)){
parse_str("a=2");
}
print_r("parsr_str()执行之后:\$a = ".$a."<br />");
?>
再加载该页面,可以看到变量不再会被覆盖。
3.3 import_request_variables() 函数防御
此函数是非常危险的函数,在PHP5.5之后已被官方删除,假如你任然在使用低版本的PHP环境,也建议你避免使用此函数。
四、建议
相关课程的线上实验版本已投递到实验楼,建议有兴趣的朋友可以看看:点击前往
