web通用型漏洞学习
变量覆盖
原理:把自定义的参数值 替换为变量的参数值,从而覆盖了变量值,产生漏洞。
常见的变量覆盖有
$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等
extract()函数
该函数使用数组键名作为变量名,使用数组键值作为变量值。
如上图,extract()函数把数组里的a=> 变为$a=3 并且覆盖原来的$a=1
一道ctf实例
extract($_POST) 对用post方式上传的数据进行操作,这样上传的数据就变为变量名和变量值,并且覆盖原有变量。为了实现$pass ==$thepassword_123 只需构造 $pass=&&$thepassword_123= 都为空即可得到flag。
parse_str()函数
parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量将覆盖已存在的同名变量。
原变量为$a=1,parse_str($a=2)函数设置$a变量 从而覆盖了原变量。
$$导致变量覆盖
2.漏洞产生
使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。
get得到的数据$key和$value,关键第3行,$$key用get传进来的$key做为新的变量$id,将get传进来的$value赋值给它=1。
get ?id=1 第3行回解析为$id=1。原变量值为3,造成了变量覆盖。
import_request_variables()使用不当
不过这个只适用于
原理是一样的。。将上传的$key变为变量名 ,$value变为变量值。从而覆盖同名的变量
文件上传漏洞
原理: 上传文件的时候,如果服务器脚本语言,未对上传的文件进行严格的验证和过滤,就容易造成上传任意文件,包括上传脚本文件
危害,上传恶意的PHP文件,从而控制整个网站,甚至是服务器。这个恶意的PHP文件,又被称为WebShell
文件上传的几种绕过方式
文件类型绕过:上传图片时,通过burpsuite 抓包改包 ,把Content-Type 修改为 ”image/png“ 进行绕过,
filename="3.png" 要改成后缀名为php。这样才能使服务器解析执行图片中php语句
文件头绕过: 在你要上传的内容前添加一些文件信息,比如说gif GIF89a<?php phpinfo(); ?>绕过
这是几个常见的文件头对应关系
(1)JPEG,JPE,JPG "JPGGraphic File"
(2)gif "GIF 89a"
(3) .zip "Zip Compressed"
(4) .doc;.xls;.ppt;.apr "MS Compound Document v1 or Lotus Approach APRfile"
文件后缀名绕过:php的文件后缀名有 php,php2,php3,php4,php5.。。当php不能上传时,可以改用这些为后缀名的php文件。
大小写绕过:当正常php文件无法上传成功时,可以修改成“Php”,"pHp","PHP"等绕过
文件路径拼接:当程序识别到后缀名时“php”时,会用空代替“php”,通过burps抓包:这样文件就不是php文件就解析不了。把“php”改为“pphphp”,这样程序会从第二个p开始,把中间的php去掉,剩下“p”+"hp" 即php,这样就便可以成功上传。
