变量覆盖
原理
对程序里面的全局变量进行覆盖,用自定义的参数值替换程序原有的变量,需要结合程序的其它功能来实现完整攻击。
造成漏洞函数
extract()
作用:从关联数组中将变量导入到当前的符号表(全局与执行函数的数组中的键相同的变量值将被覆盖)
例子:
<?php
$b = 'big pig';
$a = array('b'=>"hello","c"=>"world");
extract($a);
echo $b; //hello($d的值被覆盖)
使用:
<?php
$arr = $_GET['arr'];
extract($arr);
var_dump($d);
@$d($_POST['a']);
/*
步骤解释:
1.根据PHP数组的键值,输入的键为d,值为system
2.使用extract函数将$d修改成system
3.通过post出传递a的值
4.使结果执行结果为:system("echo Hello")
*/
parse_str()
作用:把查询字符串解析到变量中,该函数设置的变量将覆盖已存在的同名变量。
注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换
例子:
<?php
$d = "hello";
echo $d."<br>";
$arr = $_GET['arr'];
var_dump($arr);
echo "<br>";
parse_str($arr);
var_dump($d);
echo "<br>";
$d($_POST['a']) //被执行为system("ehco 1")
?>
