温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

变量覆盖漏洞----parse_str()函数

发布时间:2020-06-16 01:10:24 来源:网络 阅读:4637 作者:菜鹅小生 栏目:安全技术

Parse_str()函数引起的变量覆盖漏洞

parse_str() 函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量将覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数,并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值

一、分析题目源码:

变量覆盖漏洞----parse_str()函数

1、 error_reporting()函数规定不同级别错误,这里为关闭错误报告

2、 show_source()函数,别名highlight_file()高亮显示文件。

3、 empty()函数姜茶一个变量是否为空,所以动我们发送请求的时候一定带有id参数

4、 include(‘flag.php’)调用flag.php文件,应该就是存放flag的文件

5、 @parse_str($id)把查询字符串解析到变量中,没有使用array选项,若有同名变量,将原来的覆盖。这里明显将原来的$a的值给覆盖掉。

6、 $a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')判断$a[0]的值不是QNKCDZO并且$a[0]的MD5值要和QNKCDZO的MD5值相同。我们知道很难找出这样的字符串。

二、构造我们的payload

整体源码已经分析过了,现在唯一要做的就是需要找出字符串不同,但MD5值相同的值。这很难找出。这个时候可以利用php处理MD5哈希字符串的缺陷进行处理。

缺陷的原理:利用php弱语言特性。“10”==“1e1”吗?这样看是不等于的,但是到了php处理的时候,他会将1e1看做科学计数法来计算1e1=1*10^1=10,那这样是不是就相等了。

题目这里给出的QNKCDZO的MD5值为:0e830400451993494058024219903391。经过php处理后会认为0*10^n。所以结果为零。

所以,我们可以找到字符串MD5加密后结果开头为0e的即可。这里有篇文章记录了很多这样的字符串:http://www.cnblogs.com/Primzahl/p/6018158.html
所以我们的payload为
?id=a[]=s878926199a(s878926199a的MD5值为0e开头的字符串)
三、测试结果。

将payload用get方法传输:

变量覆盖漏洞----parse_str()函数

得到flag哈。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI