变量覆盖漏洞 [BJDCTF2020]Mark loves cat 1

打开题目

我们拿dirsearch扫描一下看看

扫描得到

看见有git字眼,那我们就访问

用githack去扒一下源代码看看

可以看到确实有flag.php结合index.php存在

但是当我去翻源代码的时候却没有翻到

去网上找到了这道题目的源代码

<?phpinclude 'flag.php';$yds = "dog";
$is = "cat";
$handsome = 'yds';foreach($_POST as $x => $y){    $$x = $y  ;  //post 声明至当前文件
}foreach($_GET as $x => $y){    $$x = $$y;  //GET型变量重新赋值为当前文件变量中以其值为键名的值
}foreach($_GET as $x => $y){if($_GET['flag'] === $x && $x !== 'flag'){  //传入的变量为flag   value不是flagexit($handsome);}
}if(!isset($_GET['flag']) && !isset($_POST['flag'])){  exit($yds);
}if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){   exit($is);
}echo "the flag is: ".$flag;
}

我们用seay代码审计一下看看可能存在哪些漏洞

可以看到网页的源代码双$$符号可能存在变量覆盖漏洞

现在我们来逐一看看源代码分析语句

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y  ; 
}

首先,包含了一个flag.php文件,将dog值和cat值分别赋给yds和is,字符串 'yds' 赋值给 $handsome 变量,foreach($_POST as $x => $y) 的作用是遍历 $_POST 数组,对于每一个键值对,将键赋值给变量 $x,将值赋值给变量 $y。$$x = $y; 是一个动态变量赋值语法

foreach($_GET as $x => $y){
    $$x = $$y; 
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);

其次,foreach的作用是遍历$_GET数组,将键值赋值给变量$x,将值赋值给变量 $y。$$x = $y; 是一个动态变量赋值语法。这个方式可以创建和覆盖变量。

然后再用foreach遍历$_GET数组,在其后跟了一个if语句,它检查是否当前迭代的键 $x 的值等于 $_GET['flag'] 的值,并且 $x 不等于字符串 'flag',如果条件成立,就会执行下面的代码块,exit($handsome);如果条件成立,exit($handsome); 会立即终止脚本的执行,并输出变量 $handsome 的值。

if(!isset($_GET['flag']) && !isset($_POST['flag'])){  
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){   
    exit($is);
}

echo "the flag is: ".$flag;
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){ exit($yds); }:这是一个条件语句。它首先检查是否 'flag' 参数既不在 $_GET 中,也不在 $_POST 中。isset 函数用于检查变量是否已设置并且不为 null。如果条件成立,即 'flag' 参数既不在 GET 请求中,也不在 POST 请求中,那么脚本会立即退出,并输出 $yds 变量的值。

if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){ exit($is); }:这是另一个条件语句。它检查是否 'flag' 参数的值在 POST 请求中等于字符串 'flag',或者在 GET 请求中等于字符串 'flag'。如果条件成立,脚本会退出并输出 $is 变量的值。

echo "the flag is: ".$flag;:这段代码在前两个条件都不成立的情况下执行,输出一个字符串 "the flag is: " 以及变量 $flag 的值。

解法1  exit($handsome);

关键代码

foreach($_GET as $x => $y){
    $$x = $$y;  

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

进入条件,我们先get传入?flag=a&a=flag,所以x=flag,y=a,$flag=$a;             x=a,y=flag,$a=$flag

然后经过foreach函数时,函数判断到 a=flag 的时候, $_GET['flag'] === $x && $x !== 'flag' --> a === a && a !== 'flag' 这就进来了 true && true 就进来了, 然后 exit($handsome);

payload为:

get传参    /?yds=flag

getc传参  /?is=flag&flag=flag

查看页面源代码得到flag

参考wp:

https://www.cnblogs.com/Nestar/p/15922456.html

知识点:

  • forEach

forEach() 方法用于调用数组的每个元素,并将元素传递给回调函数。forEach(): 没有返回值,本质上等同于 for 循环,forEach 是不改变原数组

注意: forEach() 对于空数组是不会执行回调函数的

  • foreach和for循环语句既有相似点也有不同点

详情见:for循环和forEach的区别,看着一篇就够了! - 知乎

首先 for循环的执行 只能是通过循环生成索引下标数值 然后通过索引下标 操作 数组的数据元素

但是 forEach 可以通过设定参数 来 存储 索引下标 数据数值 这样在操作上更加的便利

 例如:

foreach($_POST as $x => $y)

作用是遍历 $_POST 数组,对于每一个键值对,将键赋值给变量 $x,将值赋值给变量 $y

如果 $_POST 包含如下数据

$_POST = array('username' => 'john_doe','password' => 'secure_password',// other form fields...
);

foreach($_POST as $x => $y) 循环中,第一次迭代时,$x 将被赋值为 'username'$y 将被赋值为 'john_doe';第二次迭代时,$x 将被赋值为 'password'$y 将被赋值为 'secure_password',依此类推

同样

如果语句变成了

foreach($_POST as $x => $y){
    $$x = $y  ; 
}

例如,如果 $_POST 包含以下数据

$_POST = array('username' => 'john_doe','password' => 'secure_password',// other form fields...
);

foreach 循环中,第一次迭代时,$x 将被赋值为 'username'$y 将被赋值为 'john_doe'。接着,$$x = $y; 将会执行,它实际上等同于 $username = 'john_doe';。换句话说,它创建了一个名为 $username 的变量,并将 'john_doe' 赋给它。

同理,第二次迭代时,$x 被赋值为 'password'$y 被赋值为 'secure_password',所以 $$x = $y; 将执行 $password = 'secure_password';,创建了一个名为 $password 的变量并将 'secure_password' 赋给它。

这种方式可以创建和覆盖变量。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/240663.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JWT是什么?它有什么用?

1. 什么是 JWT&#xff1f; JWT是 JSON Web Token 的缩写&#xff0c;通过数字签名的方式&#xff0c;以 JSON 对象为载体&#xff0c;在不同的服务器终端之间安全传输的信息。 2. JWT 有什么用&#xff1f; JWT 最常见的场景就是授权认证&#xff0c;一旦用户登录&#xff…

系列八、VMWare无法启动CentOS7问题排查 解决

一、VMWare无法启动CentOS7 1.1、问题描述 今天在测试代码的时候&#xff0c;需要用到Linux&#xff0c;然后就打开VMWare进行启动&#xff0c;但是启动的时候发现无法启动起来&#xff0c;报了一个如下的错误&#xff1a; 出现了问题那就要解决问题&#xff0c;然后想起来前几…

Koordinator 支持 K8s 与 YARN 混部,小红书在离线混部实践分享

作者&#xff1a;索增增&#xff08;小红书&#xff09;、宋泽辉&#xff08;小红书&#xff09;、张佐玮&#xff08;阿里云&#xff09; 背景介绍 Koordinator 是一个开源项目&#xff0c;基于阿里巴巴在容器调度领域多年累积的经验孵化诞生&#xff0c;目前已经支持了 K8s…

【数据结构】线段树算法总结(单点修改)

知识概览 用作单点修改的线段树有4个操作&#xff1a; pushup&#xff1a;由子节点的信息计算父节点的信息build&#xff1a;初始化一棵树modify&#xff1a;修改一个区间query&#xff1a;查询一个区间 线段树用一维数组来存储&#xff1a; 编号是x的节点&#xff0c;它的父节…

【MySQL工具】pt-online-schema-change源码分析

通过阅读源码 更加深入了解原理&#xff0c;以及如何进行全量数据同步&#xff0c;如何使用触发器来同步变更期间的原表的数据更改。(&#xff3e;&#xff0d;&#xff3e;)V 目录 源码分析 Get configuration information. Connect to MySQL. Create --plugin. Setup la…

使用 ElementUI 组件构建无边框 Window 桌面应用(WinForm/WPF)

生活不可能像你想象得那么好,但也不会像你想象得那么糟。 我觉得人的脆弱和坚强都超乎自己的想象。 有时,我可能脆弱得一句话就泪流满面;有时,也发现自己咬着牙走了很长的路。 ——莫泊桑 《一生》 一、技术栈 Vite + Vue3 + TS + ElementUI(plus) + .NET Framework 4.7.2…

[管理者与领导者-129]:很多人对高情商的误解,工程师要扩展自己的情商吗?工程师如何扩展自己的情商?

目录 前言&#xff1a; 一、什么是高情商&#xff1f; 1.1 什么是高情商 1.2 情商的五大能力 1.3 高情商的层次 1.4 对高情商的误解? 二、工程师需要发展自己的高情商吗&#xff1f; 三、工程师如何扩展自己的情商&#xff1f; 四、什么样的“高情商”的管理者令人讨…

前端 JS 安全对抗原理与实践

作者&#xff1a;vivo 互联网安全团队- Luo Bingsong 前端代码都是公开的&#xff0c;为了提高代码的破解成本、保证JS代码里的一些重要逻辑不被居心叵测的人利用&#xff0c;需要使用一些加密和混淆的防护手段。 一、概念解析 1.1 什么是接口加密 如今这个时代&#xff0c;…

高德地图逆地理编码踩坑日志

本人是一枚Java小白&#xff0c;公司项目中用到根据经纬度反查该地址中文信息的场景&#xff0c;因为一开始调用的经纬度是能反查出区域编码的&#xff0c;以为towncode都是String返回结果&#xff0c;如下图&#xff1a; 没想到当没有名字任何一个城市区域的时候&#xff0c;…

管理 Jenkins 详细指南

目录 系统配置 安全 状态信息 故障 排除 工具和操作 系统配置 系统&#xff0c;配置全局设置和路径&#xff0c;端口更改&#xff0c;下载地址等。 工具&#xff0c;配置工具、其位置和自动安装程序。 插件&#xff0c;添加、删除、禁用或启用可以扩展 Jenkins 功能的插…

ssh远程管理服务

什么是ssh SSH是一种加密的网络协议&#xff0c;用于在不安全的网络中安全地传输数据。它允许用户通过一个安全的通道连接到远程计算机&#xff0c;并在该通道上执行各种网络服务&#xff0c;例如远程登录和文件传输。 SSH使用公钥加密技术来验证远程计算机的身份&#xff0c;并…

初识Stable Diffusion

界面选项解读 这是在趋动云上部署的Stable Diffusion txt2img prompt &#xff08;1&#xff09;分割符号&#xff1a;使用逗号 , 用于分割词缀&#xff0c;且有一定权重排序功能&#xff0c;逗号前权重高&#xff0c;逗号后权重低 &#xff08;2&#xff09;建议的通用范式…

【C++11特性篇】玩转C++11中的包装器(function&bind)

前言 大家好吖&#xff0c;欢迎来到 YY 滴C系列 &#xff0c;热烈欢迎&#xff01; 本章主要内容面向接触过C的老铁 主要内容含&#xff1a; 欢迎订阅 YY滴C专栏&#xff01;更多干货持续更新&#xff01;以下是传送门&#xff01; 目录 一.为什么需要包装器function&#xff…

【Earth Engine】协同Sentinel-1/2使用随机森林回归实现高分辨率相对财富(贫困)制图

目录 1 简介与摘要2 思路3 效果预览4 代码思路5 完整代码6 后记 1 简介与摘要 最近在做一些课题&#xff0c;需要使用Sentinel-1/2进行机器学习制图。 然后想着总结一下相关数据和方法&#xff0c;就花半小时写了个代码。 然后再花半小时写下这篇博客记录一下。 因为基于多次拍…

通过windows cng api 实现rsa非对称加密

参考&#xff1a; 1,使用 CNG 加密数据 - Win32 apps | Microsoft Learn 2,不记得了 &#xff08;下文通过cng api演示rsa加密&#xff0c;不做原理性介绍&#xff09; 相对于aes等对称加密算法&#xff0c;rsa加密算法不可逆性更强。非对称加密在通常情况下&#xff0c;使…

前端传输formDate格式的数据,后端不能用@RequestBody接收

写了个接口&#xff0c;跟前端对接&#xff0c;前端说怎么一直415的报错 我寻思不对啊&#xff0c;我swagger都请求成功了&#xff0c;后来发现前端一直是以formdata格式提交的数据&#xff0c;这样我其实是可以不加RequestBody的&#xff1b; 知识点&#xff1a; RequestBody…

类和对象

1 类定义&#xff1a; class ChecksumAccumulator {// class definition goes here } 你就能创建 ChecksumAccumulator 对象&#xff1a;new CheckSumAccumulator 注&#xff1a;1scala类中成员默认是public类型&#xff0c;若设为私有属性则必须加private关键字。在scala中是…

基于Springboot的留守儿童爱心网站(有报告)。Javaee项目,springboot项目。

演示视频&#xff1a; 基于Springboot的留守儿童爱心网站(有报告)。Javaee项目&#xff0c;springboot项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过Spring…

技术交底二维码的应用

二维码技术交底可以逐级落实、责任到人、有据可查、是目前最方便、实用的交底方式&#xff0c;下面我们讲解技术交底二维码的应用。 1、生成对应的技术交底二维码&#xff0c;将施工方案、技术资料、安全教育资料等内容上传到二维码里。打印出来现场粘贴&#xff0c;便于作业班…

java中线程相关的面试题

什么是线程安全&#xff0c;造成线程安全的本质是什么&#xff1f; 什么是线程安全呢&#xff1f; 咱们初步去理解话记住一句话就行&#xff1a;如果一个对象可以安全地被多个线程同时使用&#xff0c;那它就是线程安全的。 为什么并发编程会导致线程不安全&#xff1f; 可见…