Extract（）函數(shù)引起的變量覆蓋漏洞

創(chuàng)新互聯(lián)長期為上千客戶提供的網(wǎng)站建設服務，團隊從業(yè)經(jīng)驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為伽師企業(yè)提供專業(yè)的做網(wǎng)站、成都網(wǎng)站建設，伽師網(wǎng)站改版等技術服務。擁有十多年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

該函數(shù)使用數(shù)組鍵名作為變量名，使用數(shù)組鍵值作為變量值。但是當變量中有同名的元素時，該函數(shù)默認將原有的值給覆蓋掉。這就造成了變量覆蓋漏洞。

一、我們來查看一串代碼：

1、文件將get方法傳輸進來的值通過extrace()函數(shù)處理。
2、通過兩個if語句分別判斷是否存在gift變量，和變量gift的值和變量content的值是否相等。變量content的值是通過讀取變量test的值獲取到的。如果兩個變量相等輸出flag。如果不相等，輸出錯誤。

二、但是我們并不知道test的值是什么？所以我們使用變量覆蓋漏洞，重新給test賦值。

例如：$GET[‘test’]=’a’,被extract（）函數(shù)處理后，就變成了$test=’a’,有與之同名的變量$test = '';，將其值覆蓋掉。并且get方法傳輸?shù)膅ift參數(shù)的值也為a。這樣，$gift=$content。就可以獲得flag。

構造我們的payload：

 Get方法傳值：?gift=a&test=a.

最后進行測試：

得到我們夢寐以求的flag。