Bugkuctf题库中的一道代码审计题,通过巧妙利用file_get_contents函数特性来绕过extract变量覆盖

源代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php

$flag='../readme.txt';

extract($_GET);
if(isset($shiyan)){
@$content=trim(file_get_contents($flag));
if($shiyan == $content){
echo 'flag{xxx}';
}
else{
echo 'oh,no';
}
}

?>

首先先弄明白几个函数:

extract:该函数将数组的键名作为变量名,键名对应的键值作为对应的变量值,返回值为设置成功的变量个数

也就是说这里的extract($_GET)将我们GET的参数名作为变量名,参数值作为变量值

例子如下:

1
2
3
4
5
6
7
8
9
10
11
12
<?php

if(isset($_GET['shiyan']) $$ isset($_GET['flag'])){
$a=extract($_GET);
echo '$a:'.$a;
echo '<br>';
echo '$shiyan:'.$shiyan;
echo '<br>';
echo '$flag:'.$flag;
}

?>

输出结果:

成功设置了两个变量,$shiyan和$flag,所以$a=2

file_get_contents:将文件内容作为字符串输出

例子如下:

1
2
3
4
5
6
7
<?php

$flag='../readme.txt';
$content=file_get_contents($flag);
echo $content;

?>

输出结果

这里注意file_get_contents函数里的参数是$flag,也就是说我们GET进来的参数flag值会将之前的flag值覆盖掉,从而造成变量覆盖,而我们输入的flag值如果不为文件名,函数执行错误,$content会被赋值为空

例子如下:

1
2
3
4
5
6
7
8
9
10
<?php

$flag='../readme.txt';
if(isset($_GET['flag'])){
extract($_GET);
@$content=file_get_contents($flag);
echo $content.'1';
}

?>

输出结果:

要得到最终要的flag,就必须要让变量content值等于变量shiyan的值

所以我们可以让shiyan值也为空,这样flag值任意输入,只要不为文件名,就一定相等

另外,即使shiyan值为空,isset($shiyan)也是返回true的

1
2
3
4
5
6
7
8
<?php

$shiyan="";
if(isset($shiyan)){
echo "11";
}

?>

输出结果: