CTF_Web：php中的變數覆寫問題

0x00 前言

最近一直在整理有哪些方面的基礎考點，一共可能列了10項吧，自己也在不斷學習， 先把能想到的考點學完，帶著這些常見問題再去重新學一次php的基礎函式，然后再繼續練習3分以上的題目，基礎打牢，不管遇到什么都可以有自己的分析方式，而不是只能抄wp┭┮﹏┭┮，

0x01 什么是變數覆寫

變數覆寫基本都來自于各種函式（parse_str()、extract()、import_request_variables()等）對用戶輸入取值時的問題，當用戶對已經存在的變數再次通過各種函式賦值時，將會觸發變數覆寫，修改之前定義的值，這類問題需要嚴格定義用戶可以輸入的部分，或值避免使用存在此類問題的函式，

0x02 parse_str() 函式

菜鳥教程對他的介紹為：

定義和用法
parse_str()函式把查詢字串決議到變數中，
注釋：如果未設定 array 引數，由該函式設定的變數將覆寫已存在的同名變數，
注釋：php.ini檔案中的 magic_quotes_gpc設定影響該函式的輸出，如果已啟用，那么在 parse_str()決議之前，變數會被 addslashes()轉換，
語法
parse_str(string,array)

<?php
parse_str("name=Peter&age=43");
echo $name."<br>";//Peter
echo $age;//43
?>

看起來似乎可以完成我們想要的作業，但如果用戶不按照規定輸入呢?這是xman-2017的一到題目：

<meta charset="utf-8">
<?php
error_reporting(0);
if (empty($_GET['b'])) {
    show_source(__FILE__);
    die();
}else{
    $flag = "ook";
$a = "www.XMAN.com";
$b = $_GET['b'];
parse_str($b);
echo $b,"<br/>";
var_dump($a);
echo "<br/>";
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {
    echo $flag;
}else{
exit('你的答案不對0.0');
}
}
?>

由源代碼可以看出，要求輸入b之后a[]的值被改變，可以看到b 的值被parse_str($b);決議，然后松散比較md5，后面部分我們上篇文章已經進行了研究，詳情可看CTF_Web：php弱型別繞過與md5碰撞，
我們重點關注如何讓沒有接受a值的情況下改變a 的值，這里使用?b=a[]=240610708，繞過，
輸出:

a[]=240610708
array(1) { [0]=> string(9) "240610708" }
ook

可見我們輸入的b值被決議為了a[0]=240610708，a也被覆寫更改為了陣列，

0x03 extract()函式

菜鳥教程對他的介紹為：

定義和用法
extract()函式從陣列中將變數匯入到當前的符號表，
該函式使用陣列鍵名作為變數名，使用陣列鍵值作為變數值，針對陣列中的每個元素，將在當前符號表中創建對應的一個變數，
該函式回傳成功設定的變數數目，
語法
extract(array,extract_rules,prefix)
第一個引數為指定的陣列，第二個為創建變數的規則，第三個為需要增加的前綴，

1.array	必需，規定要使用的陣列，
2.extract_rules	  可選，extract() 函式將檢查每個鍵名是否為合法的變數名，同時也檢查和符號表中已存在的變數名是否沖突，對不合法和沖突的鍵名的處理將根據此引數決定，
可能的值：
EXTR_OVERWRITE - 默認，如果有沖突，則覆寫已有的變數，
EXTR_SKIP - 如果有沖突，不覆寫已有的變數，
EXTR_PREFIX_SAME - 如果有沖突，在變數名前加上前綴 prefix，
EXTR_PREFIX_ALL - 給所有變數名加上前綴 prefix，
EXTR_PREFIX_INVALID - 僅在不合法或數字變數名前加上前綴 prefix，
EXTR_IF_EXISTS - 僅在當前符號表中已有同名變數時，覆寫它們的值，其它的都不處理，
EXTR_PREFIX_IF_EXISTS - 僅在當前符號表中已有同名變數時，建立附加了前綴的變數名，其它的都不處理，
EXTR_REFS - 將變數作為參考提取，匯入的變數仍然參考了陣列引數的值，
3.prefix	  可選，如果 extract_rules 引數的值是 EXTR_PREFIX_SAME、EXTR_PREFIX_ALL、 EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS，則 prefix 是必需的，該引數規定了前綴，前綴和陣列鍵名之間會自動加上一個下劃線，

也就是說當extract函式中賦值已有的變數時，將會根據規則進行處理，例如

<?php
$a = "Original";
$my_array = array("a" => "Cat", "b" => "Dog", "c" => "Horse");
extract($my_array, EXTR_PREFIX_SAME, "dup");
echo "\$a = $a; \$b = $b; \$c = $c; \$dup_a = $dup_a";
?>
//$a = Original; $b = Dog; $c = Horse; $dup_a = Cat   這里沖突后為沖突的變數加了前綴dup和下劃線，

看到這里大家也就能猜到這個變數覆寫漏洞其實就是來源于

EXTR_OVERWRITE - 默認，如果有沖突，則覆寫已有的變數，

當沒有指定規則的時候就會發生變數覆寫，

<?php
$flag="ook!";
extract($_GET);  
echo $flag;
if($key==$flag)
{
    echo $flag;
}
else
{
    echo'Oh.no';
}
?>

由于首先為flag賦值，后extract了GET的值，所以會將已經存在的進行覆寫，如果先后順序倒換一下， 就不可以被用戶控制了，

0x04 import_request_variables()函式

菜鳥教程對他的解釋為：

import_request_variables()函式將 GET／POST／Cookie變數匯入到全域作用域中，該函式在最新版本的 PHP 中已經不支持，
import_request_variables()函式將 GET／POST／Cookie變數匯入到全域作用域中，如果你禁止了 register_globals，但又想用到一些全域變數，那么此函式就很有用，
版本要求：PHP 4 >= 4.1.0, PHP 5 < 5.4.0
語法
bool import_request_variables ( string $types [, string $prefix ] )回傳bool型結果，

$types：指定需要匯入的變數，可以用字母 G、P 和 C 分別表示 GET、POST 和 Cookie，這些字母不區分大小寫，所以你可以使用 g 、 p 和 c 的任何組合，POST 包含了通過 POST 方法上傳的檔案資訊，注意這些字母的順序，當使用 gp 時，POST 變數將使用相同的名字覆寫 GET 變數，任何 GPC 以外的字母都將被忽略，
$prefix： 變數名的前綴，置于所有被匯入到全域作用域的變數之前，所以如果你有個名為 userid 的 GET 變數，同時提供了 pref_ 作為前綴，那么你將獲得一個名為 $pref_userid 的全域變數，雖然 prefix 引數是可選的，但如果不指定前綴，或者指定一個空字串作為前綴，你將獲得一個 E_NOTICE 級別的錯誤，

<?php
// 此處將匯入 GET 和 POST 變數
$a= "abc";
import_request_variables("gP");  //不使用前綴將會覆寫，
echo $a;
?>

傳入?a=1將會把已定義的a值覆寫，