变量覆盖

变量覆盖

原理#

对程序里面的全局变量进行覆盖，用自定义的参数值替换程序原有的变量，需要结合程序的其它功能来实现完整攻击。

造成漏洞函数#

extract()#

作用：从关联数组中将变量导入到当前的符号表(全局与执行函数的数组中的键相同的变量值将被覆盖)

例子:
<?php 
$b = 'big pig';
$a = array('b'=>"hello","c"=>"world");
extract($a);	
echo $b;		//hello（$d的值被覆盖）
使用：
<?php 
$arr = $_GET['arr'];
extract($arr);
var_dump($d);
@$d($_POST['a']);
/*
步骤解释：
1.根据PHP数组的键值，输入的键为d,值为system
2.使用extract函数将$d修改成system
3.通过post出传递a的值
4.使结果执行结果为：system("echo Hello")
*/

parse_str()#

作用：把查询字符串解析到变量中，该函数设置的变量将覆盖已存在的同名变量。

注释：php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用，那么在 parse_str() 解析之前，变量会被 addslashes() 转换

例子：
<?php 
$d = "hello";
echo $d."<br>";
$arr = $_GET['arr'];
var_dump($arr);
echo "<br>";
parse_str($arr);
var_dump($d);
echo "<br>";
$d($_POST['a'])		//被执行为system("ehco 1")
?>