web通用型漏洞学习

变量覆盖

原理：把自定义的参数值  替换为变量的参数值，从而覆盖了变量值，产生漏洞。

常见的变量覆盖有

$$使用不当，extract()函数使用不当，parse_str()函数使用不当，import_request_variables()使用不当，开启了全局变量注册等

extract()函数

该函数使用数组键名作为变量名，使用数组键值作为变量值。

如上图，extract()函数把数组里的a=> 变为$a=3 并且覆盖原来的$a=1

一道ctf实例

extract($_POST） 对用post方式上传的数据进行操作，这样上传的数据就变为变量名和变量值，并且覆盖原有变量。为了实现$pass ==$thepassword_123 只需构造 $pass=&&$thepassword_123=   都为空即可得到flag。

parse_str()函数

parse_str() 函数用于把查询字符串解析到变量中，如果没有array 参数，则由该函数设置的变量将覆盖已存在的同名变量。

原变量为$a=1,parse_str($a=2)函数设置$a变量 从而覆盖了原变量。

$$导致变量覆盖

2.漏洞产生

使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。

get得到的数据$key和$value,关键第3行,$$key用get传进来的$key做为新的变量$id,将get传进来的$value赋值给它=1。

get ?id=1 第3行回解析为$id=1。原变量值为3，造成了变量覆盖。

import_request_variables()使用不当

不过这个只适用于

原理是一样的。。将上传的$key变为变量名 ,$value变为变量值。从而覆盖同名的变量

文件上传漏洞

原理: 上传文件的时候，如果服务器脚本语言，未对上传的文件进行严格的验证和过滤，就容易造成上传任意文件，包括上传脚本文件 

危害，上传恶意的PHP文件，从而控制整个网站，甚至是服务器。这个恶意的PHP文件，又被称为WebShell 

文件上传的几种绕过方式

文件类型绕过：上传图片时，通过burpsuite 抓包改包 ，把Content-Type 修改为 ”image/png“ 进行绕过，

filename="3.png" 要改成后缀名为php。这样才能使服务器解析执行图片中php语句

文件头绕过： 在你要上传的内容前添加一些文件信息，比如说gif   GIF89a<?php phpinfo(); ?>绕过 

这是几个常见的文件头对应关系

(1)JPEG,JPE,JPG  "JPGGraphic File"  

(2)gif  "GIF 89a"  

(3) .zip "Zip Compressed" 

(4)  .doc;.xls;.ppt;.apr  "MS Compound Document v1 or Lotus Approach APRfile"    

文件后缀名绕过：php的文件后缀名有 php,php2,php3,php4,php5.。。当php不能上传时，可以改用这些为后缀名的php文件。

大小写绕过：当正常php文件无法上传成功时，可以修改成“Php”,"pHp","PHP"等绕过

文件路径拼接：当程序识别到后缀名时“php”时，会用空代替“php”，通过burps抓包：这样文件就不是php文件就解析不了。把“php”改为“pphphp”,这样程序会从第二个p开始，把中间的php去掉，剩下“p”+"hp" 即php，这样就便可以成功上传。