首頁 > 後端開發 > php教程 > PHP弱型詳解

PHP弱型詳解

小云云
發布: 2023-03-20 13:10:02
原創
3212 人瀏覽過

最近做ctf題目會常常碰到PHP弱型別的題目,本文主要跟大家分享PHP弱型別總結,希望能幫助大家。

知識介紹:

php中有兩種比較的符號== 與===

<?php$a = $b ;$a===$b ;
?>
登入後複製

=== 在進行比較的時候,會先判斷兩個字串的型別是否相等,再比較
== 在進行比較的時候,會先將字串型別轉換成相同,再比較

如果比較一個數字和字串或比較涉及數字內容的字串,則字串會被轉換成數值並且比較按照數值來進行

php不會嚴格檢驗傳入的變數類型,也可以將變數自由的轉換型別。

例如在$a == $b的比較中

$a = null; $b = false; //为真  
$a = ''; $b = 0; //同样为真
登入後複製

另外,如果一個數值和字串進行比較的時候,會將字串轉換成數值

<?phpvar_dump("admin"==0);  //truevar_dump("1admin"==1); //truevar_dump("admin1"==1) //falsevar_dump("admin1"==0) //truevar_dump("0e123456"=="0e4456789"); //true ?>
登入後複製

1 、觀察上述程式碼,"admin"==0 比較的時候,會將admin轉換成數值,強制轉換,由於admin是字串,轉換的結果是0自然和0相等。

2 、"1admin"==1 比較的時候會將1admin轉換成數值,結果為1,而「admin1「==1 卻等於錯誤,也就是"admin1"轉化成了0。

3 、"0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等。
应当注意的是: 当一个字符串欸当作一个数值来取值,其结果和类型如下:如果该字符串没有包含 '.' ,'e' , 'E',并且其数值值在整形的范围之内 该字符串被当作int来取值,其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。

绕过类型
md5绕过(Hash比较缺陷)

<?php  if (isset($_GET[&#39;Username&#39;]) && isset($_GET[&#39;password&#39;])) {      $logined = true;      $Username = $_GET[&#39;Username&#39;];      $password = $_GET[&#39;password&#39;];
  
       if (!ctype_alpha($Username)) {$logined = false;}
       if (!is_numeric($password) ) {$logined = false;}
       if (md5($Username) != md5($password)) {$logined = false;}
       if ($logined){
     echo "successful";
       }else{
            echo "login failed!";
         }
     }
 ?>
登入後複製

题目大意是要输入一个字符串和数字类型,并且他们的md5值相等,就可以成功执行下一步语句

介绍一批md5开头是0e的字符串 上文提到过,0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。md5('240610708') == md5('QNKCDZO')成功绕过!
==南邮ctf bypass again==
打开后看到代码:

if (isset($_GET['a']) and isset($_GET['b'])) {if ($_GET['a'] != $_GET['b'])if (md5($_GET['a']) == md5($_GET['b']))die('Flag: '.$flag);elseprint 'Wrong.';
}
登入後複製

源码要求提交两个不相等的值使他们的md5值严格相等。md5()函数要求接收一个字符串,若传递进去一个数组,则会返回null,即var_dump(md5(array(2))===null);值为bool(true)

可以向$_GET数组传入两个名为a、b的不相等的数组,从而导致md5()均返回空,于是得到flag。 构造url:http://chinalover.sinaapp.com/web17/index.php?a[]=0&b[]=1 json绕过

<?phpif (isset($_POST[&#39;message&#39;])) {    $message = json_decode($_POST[&#39;message&#39;]);    $key ="*********";
    if ($message->key == $key) {
        echo "flag";
    } 
    else {
        echo "fail";
    }
 } else{
     echo "~~~~";
 }
?>
登入後複製

输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于 $key的值,但是$key的值我们不知道,但是可以利用0=="admin"这种形式绕过

最终payload message={"key":0}。

strcmp漏洞绕过

<?php
     $password="***************"
      if(isset($_POST[&#39;password&#39;])){ 
         if (strcmp($_POST[&#39;password&#39;], $password) == 0) {             echo "Right!!!login success";n             exit();
         } else {             echo "Wrong password..";
         } ?>
登入後複製

strcmp是比较两个字符串,如果str10 如果两者相等 返回0

我们是不知道$password的值的,题目要求strcmp判断的接受的值和$password必需相等,strcmp传入的期望类型是字符串类型,如果传入的是个数组会怎么样呢

我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型,将发生错误,但是还是判断其相等

payload: password[]=xxx

相关推荐:

php弱类型语言中关于类型判断的实例分析

PHP弱类型安全问题总结

PHP弱类型变量是如何实现的

以上是PHP弱型詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板