目錄
0x01 前言
最近CTF比賽,不止一次的出了php弱類型的題目,藉此想總結一下關於php弱類型以及繞過方式
0x02 知識介紹
php中有兩種比較的符號 “= =”與“= = =”
1 <?php
2 $a = $b ;
3 $a===$b ;
4 ?>
= = = 在進行比較的時候,會先判斷兩種字符串的類型是否相等,再比較
= = 在進行比較的時候,會先將字符串類型轉化成相同,再比較
如果比較一個數字和字符串或者比較涉及到數字內容的字符串,則字符串會被轉換成數值並且比較按照數值來進行
這裏明確了說如果一個數值和字符串進行比較的時候,會將字符串轉換成數值
1 <?php
2 var_dump("admin"==0); //true
3 var_dump("1admin"==1); //true
4 var_dump("admin1"==1) //false
5 var_dump("admin1"==0) //true
6 var_dump("0e123456"=="0e4456789"); //true
7 ?> //上述代碼可自行測試
1 觀察上述代碼,"admin"==0 比較的時候,會將admin轉化成數值,強制轉化,由於admin是字符串,轉化的結果是0自然和0相等
2 "1admin"==1 比較的時候會將1admin轉化成數值,結果爲1,而“admin1“==1 卻等於錯誤,也就是"admin1"被轉化成了0,爲什麼呢??
3 "0e123456"=="0e456789"相互比較的時候,會將0e這類字符串識別爲科學技術法的數字,0的無論多少次方都是零,所以相等
對於上述的問題我查了php手冊
當一個字符串欸當作一個數值來取值,其結果和類型如下:如果該字符串沒有包含’.’,‘e’,'E’並且其數值值在整形的範圍之內
該字符串被當作int來取值,其他所有情況下都被作爲float來取值,該字符串的開始部分決定了它的值,如果該字符串以合法的數值開始,則使用該數值,否則其值爲0。
1 <?php
2 $test=1 + "10.5"; // $test=11.5(float)
3 $test=1+"-1.3e3"; //$test=-1299(float)
4 $test=1+"bob-1.3e3";//$test=1(int)
5 $test=1+"2admin";//$test=3(int)
6 $test=1+"admin2";//$test=1(int)
7 ?>
所以就解釋了"admin1"==1 =>False 的原因
0x03 實戰
md5繞過(Hash比較缺陷)
1 <?php
2 if (isset($_GET['Username']) && isset($_GET['password'])) {
3 $logined = true;
4 $Username = $_GET['Username'];
5 $password = $_GET['password'];
6
7 if (!ctype_alpha($Username)) {$logined = false;}
8 if (!is_numeric($password) ) {$logined = false;}
9 if (md5($Username) != md5($password)) {$logined = false;}
10 if ($logined){
11 echo "successful";
12 }else{
13 echo "login failed!";
14 }
15 }
16 ?>
題目大意是要輸入一個字符串和數字類型,並且他們的md5值相等,就可以成功執行下一步語句 介紹一批md5開頭是0e的字符串 上文提到過,0e在比較的時候會將其視作爲科學計數法,所以無論0e後面是什麼,0的多少次方還是0。md5(‘240610708’) == md5(‘QNKCDZO’)成功繞過!
QNKCDZO
0e830400451993494058024219903391
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
json繞過
<?php
if (isset($_POST['message'])) {
$message = json_decode($_POST['message']);
$key ="*********";
if ($message->key == $key) {
echo "flag";
}
else {
echo "fail";
}
}
else{
echo "~~~~";
}
?>
輸入一個json類型的字符串,json_decode函數解密成一個數組,判斷數組中key的值是否等於$ key的值,但是$ key的值我們不知道,但是可以利用0==“admin” 這種形式繞過
最終payload message={“key”:0}
array_search is_array繞過
1 <?php
2 if(!is_array($_GET['test'])){exit();}
3 $test=$_GET['test'];
4 for($i=0;$i<count($test);$i++){
5 if($test[$i]==="admin"){
6 echo "error";
7 exit();
8 }
9 $test[$i]=intval($test[$i]);
10 }
11 if(array_search("admin",$test)===0){
12 echo "flag";
13 }
14 else{
15 echo "false";
16 }
17 ?>
上面是自己寫的一個,先判斷傳入的是不是數組,然後循環遍歷數組中的每個值,並且數組中的每個值不能和admin相等,並且將每個值轉化爲int類型,再判斷傳入的數組是否有admin,有則返回
flagpayload test[]=0可以繞過
下面是官方手冊對array_search的介紹
mixed array_search ( mixed $needle , array $haystack [, bool $strict =
false ] )
$ needle,$ haystack必需,$ strict可選 函數判斷$ haystack中的值是存在$ needle,存在則返回該值的鍵值 第三個參數默認爲false,如果設置爲true則會進行嚴格過濾
1 <?php
2 $a=array(0,1);
3 var_dump(array_search("admin",$a)); // int(0) => 返回鍵值0
4 var_dump(array_seach("1admin",$a)); // int(1) ==>返回鍵值1
5 ?>
array_search函數 類似於 = = 也就是$ a == “admin” 當然是$ a=0 當然如果第三個參數爲true則就不能繞過
strcmp漏洞繞過 php -v <5.3 1
<?php
2 $password="***************"
3 if(isset($_POST['password'])){
4
5 if (strcmp($_POST['password'], $password) == 0) {
6 echo "Right!!!login success";n
7 exit();
8 } else {
9 echo "Wrong password..";
10 }
11 ?>
strcmp是比較兩個字符串,如果str1<str2 則返回<0 如果str1大於str2返回>0 如果兩者相等 返回0
我們是不知道$ password的值的,題目要求strcmp判斷的接受的值和$ password必需相等,strcmp傳入的期望類型是字符串類型,如果傳入的是個數組會怎麼樣呢
我們傳入 password[]=xxx 可以繞過 是因爲函數接受到了不符合的類型,將發生錯誤,但是還是判斷其相等
payload: password[]=xxx
switch繞過
1 <?php
2 $a="4admin";
3 switch ($a) {
4 case 1:
5 echo "fail1";
6 break;
7 case 2:
8 echo "fail2";
9 break;
10 case 3:
11 echo "fail3";
12 break;
13 case 4:
14 echo "sucess"; //結果輸出success;
15 break;
16 default:
17 echo "failall";
18 break;
19 }
20 ?>
這種原理和前面的類似,就不詳細解釋了
0x04 總結
這些php弱類型只是冰山一角 上述驗證了代碼審計的重要性
參考
PHP網站滲透中的奇技淫巧:檢查相等時的漏洞
php中in_array()和array_search()的弱類型問題