Parse_str()函數(shù)引起的變量覆蓋漏洞

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括辰溪網(wǎng)站建設(shè)、辰溪網(wǎng)站制作、辰溪網(wǎng)頁制作以及辰溪網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，辰溪網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到辰溪省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

parse_str() 函數(shù)用于把查詢字符串解析到變量中，如果沒有array 參數(shù)，則由該函數(shù)設(shè)置的變量將覆蓋已存在的同名變量。 極度不建議 在沒有 array參數(shù)的情況下使用此函數(shù)，并且在 PHP 7.2 中將廢棄不設(shè)置參數(shù)的行為。此函數(shù)沒有返回值

一、分析題目源碼：

1、 error_reporting()函數(shù)規(guī)定不同級(jí)別錯(cuò)誤，這里為關(guān)閉錯(cuò)誤報(bào)告

2、 show_source()函數(shù)，別名highlight_file()高亮顯示文件。

3、 empty（）函數(shù)姜茶一個(gè)變量是否為空，所以動(dòng)我們發(fā)送請(qǐng)求的時(shí)候一定帶有id參數(shù)

4、 include(‘flag.php’)調(diào)用flag.php文件，應(yīng)該就是存放flag的文件

5、 @parse_str($id)把查詢字符串解析到變量中，沒有使用array選項(xiàng)，若有同名變量，將原來的覆蓋。這里明顯將原來的$a的值給覆蓋掉。

6、 $a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')判斷$a[0]的值不是QNKCDZO并且$a[0]的MD5值要和QNKCDZO的MD5值相同。我們知道很難找出這樣的字符串。

二、構(gòu)造我們的payload

整體源碼已經(jīng)分析過了，現(xiàn)在唯一要做的就是需要找出字符串不同，但MD5值相同的值。這很難找出。這個(gè)時(shí)候可以利用php處理MD5哈希字符串的缺陷進(jìn)行處理。

缺陷的原理：利用php弱語言特性。“10”==“1e1”嗎？這樣看是不等于的，但是到了php處理的時(shí)候，他會(huì)將1e1看做科學(xué)計(jì)數(shù)法來計(jì)算1e1=1*10^1=10，那這樣是不是就相等了。

題目這里給出的QNKCDZO的MD5值為：0e830400451993494058024219903391。經(jīng)過php處理后會(huì)認(rèn)為0*10^n。所以結(jié)果為零。

所以，我們可以找到字符串MD5加密后結(jié)果開頭為0e的即可。這里有篇文章記錄了很多這樣的字符串：http://www.cnblogs.com/Primzahl/p/6018158.html
所以我們的payload為
?id=a[]=s878926199a（s878926199a的MD5值為0e開頭的字符串）
三、測試結(jié)果。

將payload用get方法傳輸：

得到flag哈。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章名稱：變量覆蓋漏洞----parse_str()函數(shù)-創(chuàng)新互聯(lián)
文章分享：http://weahome.cn/article/dceoic.html