变量覆盖

• 2021 年 3 月 4 日
• 筆記

0X00 背景

总结一下自己对变量覆盖漏洞的见解，此漏洞主要产生于白盒代码审计。

0X00 什么是变量覆盖

顾名思义，自定义的变量替换原有变量的情况称为变量覆盖漏洞
主要涉及的函数有以下四个：
extract() parse_str() importrequestvariables() $$

$$ 导致的变量覆盖问题（$$这种称为可变变量）

1.一个可变变量获取了一个普通变量的值作为这个可变变量的变量名
<?php
$a = “hello”;
echo “$a”; //输出hello
$a=”world”;
echo “$a”; //输出hello
echo “$$a”; //输出word
echo “$a ${$a}”; //输出hello world
echo “$a $hello”; //输出hello world
?>
2.漏洞产生：通过forreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的键值作为变量的值，因此产生变量覆盖漏洞
<?php
foreach ($_GET as $key => $value) {
${$key} = $value;
}
echo $a;
?>
get得到的数据$key和$value，关键第三行，${$key}用get传进来的$key作为新的变量，将get传进来的
$value赋值给它
get?a=1第三行会解析为$a=1,造成了变量覆盖

extract()函数导致的变量覆盖

extract()该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每一个元素，将在当前符号表中创建对应的一个变量

parse_str函数导致的变量覆盖问题

parse_str()函数用于把查询字符串解析到变量中，如果没有array参数，则由该函数设置的变量
将覆盖已存在的变量名

import_request_variables()使用不当

import_request_variables将GET/POST/COOKIE变量导入到全局作用域中
import_request_variables()函数就是把GET、POST、COOKIE的参数注册成变量，用在register_globals被禁止的时候