各类知识收集,PHP技术分享与解决方案各类知识收集,PHP技术分享与解决方案各类知识收集,PHP技术分享与解决方案

Str Tom,为分享PHP技术和解决方案,贡献一份自己的力量!
QQ:420220301 微信/手机:150-3210-7690
当前位置:首页 > CMS教程 > PHP

对php中弱类型转换的实现

管理员 2023-09-05
PHP
119

对php中弱类型转换的实现

内容导读

收集整理的这篇技术教程文章主要介绍了对php中弱类型转换的实现,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含5347字,纯文字阅读大概需要8分钟

内容图文

这篇文章分享给大家的内容是关于php里弱类型转换,内容很有参考价值,希望可以帮到有需要的小伙伴。

1 前言

最近CTF比赛,不止一次的出了php弱类型的题目,借此想总结一下关于php弱类型以及绕过方式

2 知识介绍

php中有两种比较的符号 == 与 ===

1 <?php2 $a = $b ;3 $a===$b ;4 ?>

=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较

== 在进行比较的时候,会先将字符串类型转化成相同,再比较

如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行

这里明确了说如果一个数值和字符串进行比较的时候,会将字符串转换成数值

1 <?php2 var_dump("admin"==0);  //true3 var_dump("1admin"==1); //true4 var_dump("admin1"==1) //false5 var_dump("admin1"==0) //true6 var_dump("0e123456"=="0e4456789"); //true 7 ?>  //上述代码可自行测试

1 观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等
2 "1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却等于错误,也就是"admin1"被转化成了0,为什么呢??3 "0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等

对于上述的问题我查了php手册

当一个字符串欸当作一个数值来取值,其结果和类型如下:如果该字符串没有包含'.','e','E'并且其数值值在整形的范围之内
该字符串被当作int来取值,其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。

1 <?php2 $test=1 + "10.5"; // $test=11.5(float)3 $test=1+"-1.3e3"; //$test=-1299(float)4 $test=1+"bob-1.3e3";//$test=1(int)5 $test=1+"2admin";//$test=3(int)6 $test=1+"admin2";//$test=1(int)7 ?>

所以就解释了"admin1"==1 =>False 的原因

3 实战

md5绕过(Hash比较缺陷)

 1 <?php 2 if (isset($_GET['Username']) && isset($_GET['password'])) { 3     $logined = true; 4     $Username = $_GET['Username']; 5     $password = $_GET['password']; 6  7      if (!ctype_alpha($Username)) {$logined = false;} 8      if (!is_numeric($password) ) {$logined = false;} 9      if (md5($Username) != md5($password)) {$logined = false;}10      if ($logined){11     echo "successful";12       }else{13            echo "login failed!";14         }15     }16 ?>

题目大意是要输入一个字符串和数字类型,并且他们的md5值相等,就可以成功执行下一步语句

介绍一批md5开头是0e的字符串 上文提到过,0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0md5('240610708') == md5('QNKCDZO')成功绕过!

QNKCDZO0e830400451993494058024219903391s878926199a0e545993274517709034328855841020  s155964671a0e342768416822451524974117254469  s214587387a0e848240448830537924465865611904  s214587387a0e848240448830537924465865611904  s878926199a0e545993274517709034328855841020  s1091221200a0e940624217856561557816327384675  s1885207154a0e509367213418206700842008763514

json绕过

<?phpif (isset($_POST['message'])) {    $message = json_decode($_POST['message']);    $key ="*********";    if ($message->key == $key) {        echo "flag";    }     else {        echo "fail";    } } else{     echo "~~~~"; }?>

输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于 $key的值,但是$key的值我们不知道,但是可以利用0=="admin"这种形式绕过

最终payload message={"key":0}

array_search is_array绕过

 1 <?php 2 if(!is_array($_GET['test'])){exit();} 3 $test=$_GET['test']; 4 for($i=0;$i<count($test);$i++){ 5     if($test[$i]==="admin"){ 6         echo "error"; 7         exit(); 8     } 9     $test[$i]=intval($test[$i]);10 }11 if(array_search("admin",$test)===0){12     echo "flag";13 }14 else{15     echo "false";16 }17 ?>

上面是自己写的一个,先判断传入的是不是数组,然后循环遍历数组中的每个值,并且数组中的每个值不能和admin相等,并且将每个值转化为int类型,再判断传入的数组是否有admin,有则返回flag

payload test[]=0可以绕过

下面是官方手册对array_search的介绍

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle,$haystack必需,$strict可选 函数判断$haystack中的值是存在$needle,存在则返回该值的键值 第三个参数默认为false,如果设置为true则会进行严格过滤

1 <?php2 $a=array(0,1);3 var_dump(array_search("admin",$a)); // int(0) => 返回键值04 var_dump(array_seach("1admin",$a));  // int(1) ==>返回键值15 ?>

array_search函数 类似于== 也就是$a=="admin" 当然是$a=0 当然如果第三个参数为true则就不能绕过

strcmp漏洞绕过 php -v <5.3

 1 <?php 2     $password="***************" 3      if(isset($_POST['password'])){ 4  5         if (strcmp($_POST['password'], $password) == 0) { 6             echo "Right!!!login success";n 7             exit(); 8         } else { 9             echo "Wrong password..";10         }11 ?>

strcmp是比较两个字符串,如果str1<str2 则返回<0 如果str1大于str2返回>0 如果两者相等 返回0

我们是不知道$password的值的,题目要求strcmp判断的接受的值和$password必需相等,strcmp传入的期望类型是字符串类型,如果传入的是个数组会怎么样呢

我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型,将发生错误,但是还是判断其相等

payload: password[]=xxx

switch绕过

 1 <?php 2 $a="4admin"; 3 switch ($a) { 4     case 1: 5         echo "fail1"; 6         break; 7     case 2: 8         echo "fail2"; 9         break;10     case 3:11         echo "fail3";12         break;13     case 4:14         echo "sucess";  //结果
输出success;15 break;16 default:17 echo "failall";18 break;19 }20 ?>

这种原理和前面的类似,就不详细解释了

4 总结

这些php弱类型只是冰山一角 上述验证了代码审计的重要性

相关推荐:

PHP中关键字var的用法示例

php队列处理:php消息队列实现原理(图文)

以上就是对php中弱类型转换的实现的详细内容,更多请关注Gxl网其它相关文章!

内容总结

以上是为您收集整理的对php中弱类型转换的实现全部内容,希望文章能够帮你解决对php中弱类型转换的实现所遇到的程序开发问题。 如果觉得技术教程内容还不错,欢迎将网站推荐给程序员好友。

内容备注

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。


希望以上内容对你有所帮助!如果还有其他问题,请随时提问。 各类知识收集 拥有多年CMS企业建站经验,对 lecms, classcms, fastadmin, pbootcms, phpcms, eyoucms, yzmcms, PHP, xunruicms, jizhicms, dedecms, wordpress, hkcms, yzncms, 等各类cms的相互转化,程序开发,网站制作,bug修复,程序杀毒,插件定制都可以提供最佳解决方案。

扫码关注

qrcode

QQ交谈

回顶部