//题目地址http://123.206.87.240:9009/1.php
<?php
$flag='xxx';
extract($_GET);//extract() 函数从数组中将变量导入到当前的符号表。
//该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
//该函数返回成功设置的变量数目。
//https://www.runoob.com/php/func-array-extract.html
if(isset($shiyan))
{
//$定义一个变量
//当要 判断一个变量是否已经声明的时候 可以使用 isset 函数
//当要 判断一个变量是否已经赋予数据且不为空 可以用 empty 函数
//当要 判断 一个变量 存在且不为空 先isset 函数 再用 empty 函数
$content=trim(file_get_contents($flag));//trim为除去多余的空格
//file_get_contents() 函数把整个文件读入一个字符串中。
//和 file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。
//file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法。如果操作系统支持,还会使用内存映射技术来增强性能。
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>
//最后构造出http://123.206.87.240:9009/1.php?shiyan=&falg=//置空方法等值
//变量覆盖漏洞----extract()函数
//Extract()函数引起的变量覆盖漏洞
//
//该函数使用数组键名作为变量名,使用数组键值作为变量值。但是当变量中有同名的元素时,该函数默认将原有的值给覆盖掉。这就造成了变量覆盖漏洞。
//
//一、我们来查看一串代码:
//
//1、文件将get方法传输进来的值通过extrace()函数处理。
//2、通过两个if语句分别判断是否存在gift变量,和变量gift的值和变量content的值是否相等。变量content的值是通过读取变量test的值获取到的。如果两个变量相等输出flag。如果不相等,输出错误。
//
//二、但是我们并不知道test的值是什么?所以我们使用变量覆盖漏洞,重新给test赋值。
//
//例如:$GET[‘test’]=’a’,被extract()函数处理后,就变成了$test=’a’,有与之同名的变量$test = ‘‘;,将其值覆盖掉。并且get方法传输的gift参数的值也为a。这样,$gift=$content。就可以获得flag。
//
//构造我们的payload:
//
// Get方法传值:?gift=a&test=a.
//
//最后进行测试:
//技术分享图片
//得到我们梦寐以求的flag。
//
//变量覆盖漏洞----extract()函数
//
//标签:web 变量覆盖
//
//原文地址:http://blog.51cto.com/12332766/2120865
//
后言:为什么不能两个变量构造出http://123.206.87.240:9009/1.php?shiyan=a&falg=a这样去呢,有点迷,刚学CTF,有大佬解答吗?
浙公网安备 33010602011771号