PHP中的变量包围裂痕深入理会

1.extract()变量包围

1.extract()

extract() 函数从数组中将变量导入到当前的标记表。

该函数利用数组键名作为变量名,利用数组键值作为变量值。针对数组中的每个元素,将在当前标记表中建设对应的一个变量。

该函数返回乐成配置的变量数目。

extract(array,extract_rules,prefix)

参考引用:https://www.runoob.com/php/func-array-extract.html

eg:

<?php extract($_GET); echo $name.'<br>'; echo $age.'<br>'; echo $phone.'<br>'; //GET传参:?name=xiaohua&age=22&phone=112323123 //功效: // xiaohua // 22 // 112323123 ?>

2.CTF中extract()导致的变量包围

<?php $flag='flag.php'; extract($_GET); if(isset($ceshi)) { $content=trim(file_get_contents($flag)); if($ceshi==$content) { echo'flag{xxxxxxx}'; } else { echo'Oh.no'; } } ?>

我们大抵阐明是要求我们GET传参进去值会颠末extract()函数下来会有两个if 第一个if判定 ceshi这个变量是否存在 存在则继承执行if内里的

利用file_get_contents()读取flag变量内里的文件通报给content变量 之后再举办判定传进来ceshi变量的值等不便是$content假如便是则打印出flag!

这里我们结构因为通过extract()函数我们传进的值会酿成一个变量 譬喻我们GET传入 ceshi=1 则会存在$ceshi=1 所以我们结构GET传参pyaload:

GET传参payload:$ceshi=&$flag= 

这样再措施中会有两个为空的变量而$flag=空 则包围了上面的$flag中的值 这样举办判定 都是空的所觉得真则获得flag

3.裂痕修复

不要利用。。。。
参考 官方文档 修改extract_rules 内里的值为EXTR_SKIP eg:

extract($_GET,EXTR_SKIP);

2.PHP动态变量包围

1.动态变量包围

PHP动态变量是指一个变量名的变量名可以动态的配置和利用,一个变量获取另一个变量的值作为这个变量的变量名。

<?php $bar= "a"; $Foo="Bar"; $World="Foo"; $Hello="world"; $a="Hello"; echo $a; //hello echo $$a; //world echo $$$a; //foo echo $$$$$a; //Bar echo $$$$$$a; //a echo $$$$$$$a; //hello echo $$$$$$$$a; //world ?>

CTF中的动态变量包围

https://www.cnblogs.com/xhds/p/12586928.html CTF中的动态变量包围

3.裂痕修复

制止利用这个

3.parse_str()变量包围

1.parse_str()

parse_str() 函数把查询字符串理会到变量中。

注释:假如未配置 array 参数,由该函数配置的变量将包围已存在的同名变量。

注释:php.ini 文件中的 magic_quotes_gpc 配置影响该函数的输出。假如已启用,那么在 parse_str() 理会之前,变量会被 addslashes() 转换。

parse_str(string,array)

参考引用:https://www.runoob.com/php/func-string-parse-str.html

eg:

<?php parse_str("name=xiaohua&age=22"); echo $name."<br>"; echo $age; ?> //xiaohua //22

2.CTF中parse_str()导致的变量包围

<?php error_reporting(0); $flag="flag{xiaohua-2020}"; if (empty($_GET['id'])) { show_source(__FILE__); die(); } else { $a = "www.xiaohua.com"; $id = $_GET['id']; @parse_str($id); // if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) { echo $flag; } else { exit("no no"); } } ?>

阐明代码 判定GET传入的id值是否为空为空的话输出源码终止措施,不然的话则吸收id值 颠末parse_str() 然后呢if判定 $a[0] 的值要不便是QNKCDZO

但$a[0]的md5值要便是QNKCDZO这里可以回收Hash较量缺陷来办理这一步 下来就是传入变量包围$a[0]的值 因为有parse_str所以我们可以结构payload:

payload:?id=a[0]=s878926199a 

3.裂痕修复

为了防备变量包围,只管利用指定输出变量方法

4.import_request_variables()变量包围

1.import_request_variables()

(PHP 4 >= 4.1.0, PHP 5 < 5.4.0)

import_request_variables—将 GET/POST/Cookie 变量导入到全局浸染域中

将 GET/POST/Cookie 变量导入到全局浸染域中。假如你克制了register_globals,但又想用到一些全局变量,那么此函数就很有用。

import_request_variables ( string $types [, string $prefix ] ) : bool

参考引用:https://www.php.net/manual/zh/function.import-request-variables.php

2.CTF中import_request_variables()导致的变量包围

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wsjxwx.html