php代码审计之变量覆盖

吉佳

　　变量覆盖一般由这四个函数引起
　　

<?php　　
$b=3;
　　
$a = array('b' => '1' );
　　
extract($a,EXTR_OVERWRITE);
　　
print_r($b);
　　
//extract 有三种形式可能导致变量覆盖，第一种是第二个参数为EXTR_OVERWRITE,他表示如果有冲突，覆盖原有的变量。第二种情况是只传入第一个参数，默认为EXTR_OVERWRITE模式，第三种是第二个参数为EXTR_IF_EXISTS，他表示在当前符号表中已有同名变量时，覆盖它们的值,其他的都不注册新变量.
　　
//关键字:extract，EXTR_OVERWRITE
　　
//参考漏洞:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-096990.html
　　
?>
　　

　　

　　

<?php　　
$b=3;
　　
parse_str('b=2');
　　
print_r($b);
　　
//parse_str()的作用是解析注册成变量的字符串，第二个参数$arr是一个数组
　　
//关键字：parse_str()
　　
//
　　
?>
　　

　　

　　这个parse_str()函数 会自动对url解码，然后以&为分割符，然后对变量进行注册。
　　

<?php　　
$b=3;
　　
import_request_variables('GP');
　　
print_r($b);
　　
//import_request_variables()作用是把GET，POST，COOKIE的参数注册成变量,用在register_globals被禁用的时候，需要PHP在4.1到5.4之间的版本。
　　
//关键字：import_request_variables
　　
?>
　　

　　

　　

<?php　　
$b=3;
　　
foreach (array('_COOKIE','_POST','_GET') as $_REQUEST) {
　　foreach ($$_REQUEST as $_key => $_value) {
　　echo $_key.'<br />';
　　$$_key=addcslashes($_value);
　　}
　　
}
　　
echo $b;
　　

　　
//$$变量覆盖
　　
//关键字: $$
　　
?>
　　

　　

　　对于核心文件，早期的cms一般会有这样的GPC声明
　　

if (0 < count($_COOKIE)) {　　

　　foreach ($_COOKIE as $s_key => $s_value ) {
　　

　　$_COOKIE[$s_key] = addslashes(strip_tags($s_value));
　　

　　$$s_key = $_COOKIE[$s_key];
　　

　　}
　　

　　

　　

　　reset($_COOKIE);
　　

　　
}
　　

　　（1）$$导致变量覆盖，这时候我们只要找出变量没有未初始声明，就进入sql查询或者include包含文件中，就会产生漏洞。
　　（2）变量函数(变量1,变量2);由于开启全局注册,又post被extract，导致变量覆盖,变量作为函数执行，最终形成代码执行。
　　（3）变量在if中声明的，如果不经过if的话，变量算是没有声明的，就可以进行变量覆盖。
　　（4）etc
　　以下是这几天看的比较经典的漏洞，从excel复制出来的
　　wooyun-2016-0168661 通达OA 2015多处漏洞合集 全局变量覆盖
　　wooyun-2015-0131548phpcms一个函数引起的安全漏洞parse_str变量覆盖二次解码导致注入
　　wooyun-2015-0126295MetInfo最新版SQL注入一枚没有单引号包裹，并且变量覆盖
　　wooyun-2015-095672 ThinkSNS任意代码执行漏洞 变量覆盖后有个include 变量，导致extract覆盖include 变量
　　wooyun-2014-088251从ThinkPHP谈基于框架开发程序的安全性变量覆盖后有个include 变量，导致extract覆盖include的变量
　　wooyun-2014-080524齐博地方门户鸡肋文件包含造成的高危SQL注入前台文件包含，包含存在extract的get变量并且require_once不在包含全局应用，造成变量覆盖
　　wooyun-2011-01732mvmmall网店商城系统注入漏洞变量在if中声明的，如果不经过if的话，变量算是没有声明的，就可以进行变量覆盖
　　wooyun-2013-017119PhpcmsV9 任意用户密码修改逻辑漏洞 没看懂
　　wooyun-2013-023501 phpshe不花钱直接完成订单支付！变量覆盖订单参数的状态
　　wooyun-2013-023693ACFUN分站再次GETSHELL变量覆盖漏洞分析与利用变量作为函数执行,变量函数(变量1,变量2),由于开启全局注册,又post被extract，导致变量覆盖
　　wooyun-2013-039281Destoon最新全版本通杀SQL注入漏洞诠释了require