PHP의 취약한 기능 요약-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP의 취약한 기능 요약

韦小宝

Mar 08, 2018 pm 05:41 PM

php기능

이 기사에서는 PHP에 작은 허점이 있는 일부 PHP 함수의 존재에 대해 설명합니다. PHP의 허점 함수를 이해하지 못했다면 실제 PHP 개발에서 이러한 함수를 사용할 때 주의해야 할 사항을 살펴보겠습니다. 더 이상 고민하지 말고 이 기사를 읽어보세요!

1. 약한 유형 비교

2. MD5 비교 취약점

을 사용하는 경우 "!=" 또는 " = = "라는 해시 값을 비교하기 위해 "0x"로 시작하는 각 해시 값을 과학적 표기법(0)에서 0의 거듭제곱으로 해석하므로, 앞으로 두 개의 서로 다른 비밀번호가 해시되면 해당 해시 값은 모두 "0e"로 시작됩니다. "라고 입력하면 PHP는 둘이 동일하다고 생각할 것입니다.

일반적인 페이로드에는

0x01 md5(str)
    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a
0x02 sha1(str)
    sha1(&#39;aaroZmOk&#39;)  
    sha1(&#39;aaK1STfY&#39;)
    sha1(&#39;aaO8zKZF&#39;)
    sha1(&#39;aa3OFF9m&#39;)

가 포함됩니다. 동시에 MD5는 배열을 처리할 수 없습니다. 다음과 같은 판단이 내려지면 배열을 사용하여

if(@md5($_GET[&#39;a&#39;]) == @md5($_GET[&#39;b&#39;]))
{
    echo "yes";
}
//http://127.0.0.1/1.php?a[]=1&b[]=2

3.ereg 함수 취약점: 00 잘림

ereg ("^[a-zA-Z0-9]+$", $_GET[&#39;password&#39;]) === FALSE

문자열 비교를 우회할 수 있습니다. 분석
여기서 $ _GET['password']가 배열이면 반환 값은 NULL입니다.
123 || asd || 12as || 123%00&&&**이면 반환 값은 true입니다.
나머지는 false입니다

4. $key 란 무엇인가요?

프로그램은 변수 자체의 키를 변수로 추출하여 함수에 제공하여 처리할 수 있다는 점을 잊지 마세요.

<?php
    print_r(@$_GET); 
    foreach ($_GET AS $key => $value)
    {
        print $key."\n";
    }
?>

5. 변수 적용 범위

예제를 살펴보겠습니다.

<?php  
    $auth = &#39;0&#39;;  
    // 这里可以覆盖$auth的变量值
    print_r($_GET);
    echo "</br>";
    extract($_GET); 
    if($auth == 1){  
        echo "private!";  
    } else{  
        echo "public!";  
    }  
?>

extract는 배열을 받은 다음 변수를 다시 할당할 수 있습니다.

동시에! PHP의 $ 기능은 변수 이름을 할당하는 데 사용할 수 있으며 변수 덮어쓰기를 유발할 수도 있습니다!

<?php  
    $a=&#39;hi&#39;;
    foreach($_GET as $key => $value) {
        echo $key."</br>".$value;
        $$key = $value;
    }
    print "</br>".$a;
?>

목표를 달성하려면 http://127.0.0.1:8080/test.php?a=12를 구성하세요. http://127.0.0.1:8080/test.php?a=12 即可达到目的。

6.strcmp

如果 str1 小于 str2 返回  0；如果两者相等，返回 0。 
先将两个参数先转换成string类型。 
当比较数组和字符串的时候，返回是0。 
如果参数不是string类型，直接return

<?php
    $password=$_GET[&#39;password&#39;];
    if (strcmp(&#39;xd&#39;,$password)) {
     echo &#39;NO!&#39;;
    } else{
        echo &#39;YES!&#39;;
    }
?>

构造http://127.0.0.1:8080/test.php?password[]=

6.strcmp

<?php
echo is_numeric(233333);       # 1
echo is_numeric(&#39;233333&#39;);    # 1
echo is_numeric(0x233333);    # 1
echo is_numeric(&#39;0x233333&#39;);   # 1
echo is_numeric(&#39;233333abc&#39;);  # 0
?>

<?php
$ip = &#39;asd 1.1.1.1 abcd&#39;; // 可以绕过
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
  die(&#39;error&#39;);
} else {
   echo(&#39;key...&#39;);
}
?>

Constructionhttp://127.0.0.1:8080/test.php?password[]=

7.is_numeric

말할 필요도 없습니다:

<?php
    $var=&#39;init&#39;;  
    print $var."</br>";
    parse_str($_SERVER[&#39;QUERY_STRING&#39;]);  
    echo $_SERVER[&#39;QUERY_STRING&#39;]."</br>";
    print $var;
?>

8.preg_match

정규식 매칭 시 문자열의 시작과 끝(^ 및 $)에 제한이 없으면 우회 문제

<?php  
    echo 0 == &#39;a&#39; ;// a 转换为数字为 0    重点注意
    // 0x 开头会被当成16进制54975581388的16进制为 0xccccccccc
    // 十六进制与整数，被转换为同一进制比较
    &#39;0xccccccccc&#39; == &#39;54975581388&#39; ;

    // 字符串在与数字比较前会自动转换为数字，如果不能转换为数字会变成0
    1 == &#39;1&#39;;
    1 == &#39;01&#39;;
    10 == &#39;1e1&#39;;
    &#39;100&#39; == &#39;1e2&#39; ;    

    // 十六进制数与带空格十六进制数，被转换为十六进制整数
    &#39;0xABCdef&#39;  == &#39;     0xABCdef&#39;;
    echo &#39;0010e2&#39; == &#39;1e3&#39;;
    // 0e 开头会被当成数字，又是等于 0*10^xxx=0
    // 如果 md5 是以 0e 开头，在做比较的时候，可以用这种方法绕过
    &#39;0e509367213418206700842008763514&#39; == &#39;0e481036490867661113260034900752&#39;;
    &#39;0e481036490867661113260034900752&#39; == &#39;0&#39; ;

    var_dump(md5(&#39;240610708&#39;) == md5(&#39;QNKCDZO&#39;));
    var_dump(md5(&#39;aabg7XSs&#39;) == md5(&#39;aabC9RqS&#39;));
    var_dump(sha1(&#39;aaroZmOk&#39;) == sha1(&#39;aaK1STfY&#39;));
    var_dump(sha1(&#39;aaO8zKZF&#39;) == sha1(&#39;aa3OFF9m&#39;));
?>

9가 발생할 수 있습니다.

parse_str()과 유사한 함수는 mb_parse_str()입니다.parse_str은 문자열을 여러 변수로 구문 분석합니다. 매개 변수 str이 URL로 전달된 쿼리 문자열인 경우 변수로 구문 분석되어 현재 범위로 설정됩니다. 변수 적용 범위의 유형
<?php $_CONFIG['extraSecure'] = true; foreach(array('_GET','_POST') as $method) { foreach($$method as $key=>$value) { // $key == _CONFIG // $$key == $_CONFIG // 这个函数会把 $_CONFIG 变量销毁 unset($$key); } } if ($_CONFIG['extraSecure'] == false) { echo 'flag {****}'; } ?>

10.

문자열 비교

$var = 5;  
方式1：$item = (string)$var;  
方式2：$item = strval($var);

11.unset

unset(bar)은 bar 변수가 요청에 포함된 경우 지정된 변수를 삭제하는 데 사용됩니다. 매개변수, 일부 변수는 프로그램 논리를 우회하기 위해 파괴될 수 있습니다.

var_dump(intval(&#39;2&#39;)) //2  
var_dump(intval(&#39;3abcd&#39;)) //3  
var_dump(intval(&#39;abcd&#39;)) //0 
// 可以使用字符串-0转换，来自于wechall的方法

12.intval()

int를 문자열로:

if($req[&#39;number&#39;]!=strval(intval($req[&#39;number&#39;]))){
     $info = "number must be equal to it&#39;s integer!! ";  
}

문자열을 int로: intval() 함수.

<?php
    $i ="abc";  
    switch ($i) {  
    case 0:  
    case 1:  
    case 2:  
    echo "i is less than 3 but not negative";  
    break;  
    case 3:  
    echo "i is 3";  
    } 
?>

intval()을 변환할 때 숫자가 아닌 문자를 만날 때까지 문자열의 처음부터 변환한다고 설명합니다. 변환할 수 없는 문자열이 나타나도 intval()은 오류를 보고하지 않고 0을 반환합니다.

그런데 intval은 %00으로 잘릴 수 있습니다$array=[0,1,2,'3']; var_dump(in_array('abc', $array)); //true var_dump(in_array('1bc', $array)); //true
$req['number']=0%00이면 Bypassed

13.switch()

switch가 숫자형 대소문자 판단인 경우 switch는 매개변수를 int형으로 변환하며 효과는 intval 함수와 동일합니다. 다음과 같습니다:

这里我们先简单介绍一下php中的魔术方法（这里如果对于类、对象、方法不熟的先去学学吧），即Magic方法，php类可能会包含一些特殊的函数叫magic函数，magic函数命名是以符号开头的，比如 construct， destruct，toString，sleep，wakeup等等。这些函数都会在某些特殊时候被自动调用。 
例如construct()方法会在一个对象被创建时自动调用，对应的destruct则会在一个对象被销毁时调用等等。 
这里有两个比较特别的Magic方法，sleep 方法会在一个对象被序列化的时候调用。 wakeup方法会在一个对象被反序列化的时候调用。

14.in_array()

<?php
class test
{
    public $username = &#39;&#39;;
    public $password = &#39;&#39;;
    public $file = &#39;&#39;;
    public function out(){
        echo "username: ".$this->username."<br>"."password: ".$this->password ;
    }
     public function toString() {
        return file_get_contents($this->file);
    }
}
$a = new test();
$a->file = &#39;C:\Users\YZ\Desktop\plan.txt&#39;;
echo serialize($a);
?>
//tostring方法会在输出实例的时候执行，如果实例路径是隐秘文件就可以读取了

PHP가 int라고 생각하는 곳에 문자열을 입력하면 강제 변환

15.serialize 및 unserialize 취약점이 됩니다

<?php class test { public $username = ''; public $password = ''; public $file = ''; public function out(){ echo "username: ".$this->username."<br>"."password: ".$this->password ; } public function toString() { return file_get_contents($this->file); } } $a = 'O:4:"test":3:{s:8:"username";s:0:"";s:8:"password";s:0:"";s:4:"file";s:28:"C:\Users\YZ\Desktop\plan.txt";}'; echo unserialize($a); ?>
rrreeeecho unserialize tostring 함수를 트리거하면 아래의 C:UsersYZDesktopplan.txt 파일을 읽을 수 있습니다

rrreee

16.session 역직렬화 취약점

주요 이유는
ini_set('session.serialize_handler', 'php_serialize') ini_set(' session)입니다. .serialize_handler', 'php'); 세션을 처리하는 두 가지 방법이 다릅니다

이건 잘 모르겠습니다. 나중에 해결 방법을 작성하겠습니다!

여기서 질문이 있습니다! 질문입니다

관련 기사

PHP와 Python : 다른 패러다임이 설명되었습니다Apr 18, 2025 am 12:26 AM

PHP는 주로 절차 적 프로그래밍이지만 객체 지향 프로그래밍 (OOP)도 지원합니다. Python은 OOP, 기능 및 절차 프로그래밍을 포함한 다양한 패러다임을 지원합니다. PHP는 웹 개발에 적합하며 Python은 데이터 분석 및 기계 학습과 같은 다양한 응용 프로그램에 적합합니다.

PHP와 Python : 그들의 역사에 깊은 다이빙Apr 18, 2025 am 12:25 AM

PHP는 1994 년에 시작되었으며 Rasmuslerdorf에 의해 개발되었습니다. 원래 웹 사이트 방문자를 추적하는 데 사용되었으며 점차 서버 측 스크립팅 언어로 진화했으며 웹 개발에 널리 사용되었습니다. Python은 1980 년대 후반 Guidovan Rossum에 의해 개발되었으며 1991 년에 처음 출시되었습니다. 코드 가독성과 단순성을 강조하며 과학 컴퓨팅, 데이터 분석 및 기타 분야에 적합합니다.

PHP와 Python 중에서 선택 : 가이드Apr 18, 2025 am 12:24 AM

PHP는 웹 개발 및 빠른 프로토 타이핑에 적합하며 Python은 데이터 과학 및 기계 학습에 적합합니다. 1.PHP는 간단한 구문과 함께 동적 웹 개발에 사용되며 빠른 개발에 적합합니다. 2. Python은 간결한 구문을 가지고 있으며 여러 분야에 적합하며 강력한 라이브러리 생태계가 있습니다.

PHP 및 프레임 워크 : 언어 현대화Apr 18, 2025 am 12:14 AM

PHP는 현대화 프로세스에서 많은 웹 사이트 및 응용 프로그램을 지원하고 프레임 워크를 통해 개발 요구에 적응하기 때문에 여전히 중요합니다. 1.PHP7은 성능을 향상시키고 새로운 기능을 소개합니다. 2. Laravel, Symfony 및 Codeigniter와 같은 현대 프레임 워크는 개발을 단순화하고 코드 품질을 향상시킵니다. 3. 성능 최적화 및 모범 사례는 응용 프로그램 효율성을 더욱 향상시킵니다.

PHP의 영향 : 웹 개발 및 그 이상Apr 18, 2025 am 12:10 AM

phphassignificallyimpactedwebdevelopmentandextendsbeyondit

스칼라 유형, 반환 유형, 노조 유형 및 무효 유형을 포함한 PHP 유형의 힌트 작업은 어떻게 작동합니까?Apr 17, 2025 am 12:25 AM

PHP 유형은 코드 품질과 가독성을 향상시키기위한 프롬프트입니다. 1) 스칼라 유형 팁 : PHP7.0이므로 int, float 등과 같은 기능 매개 변수에 기본 데이터 유형을 지정할 수 있습니다. 2) 반환 유형 프롬프트 : 기능 반환 값 유형의 일관성을 확인하십시오. 3) Union 유형 프롬프트 : PHP8.0이므로 기능 매개 변수 또는 반환 값에 여러 유형을 지정할 수 있습니다. 4) Nullable 유형 프롬프트 : NULL 값을 포함하고 널 값을 반환 할 수있는 기능을 포함 할 수 있습니다.

PHP는 객체 클로닝 (클론 키워드) 및 __clone 마법 방법을 어떻게 처리합니까?Apr 17, 2025 am 12:24 AM

PHP에서는 클론 키워드를 사용하여 객체 사본을 만들고 \ _ \ _ Clone Magic 메소드를 통해 클로닝 동작을 사용자 정의하십시오. 1. 복제 키워드를 사용하여 얕은 사본을 만들어 객체의 속성을 복제하지만 객체의 속성은 아닙니다. 2. \ _ \ _ 클론 방법은 얕은 복사 문제를 피하기 위해 중첩 된 물체를 깊이 복사 할 수 있습니다. 3. 복제의 순환 참조 및 성능 문제를 피하고 클로닝 작업을 최적화하여 효율성을 향상시키기 위해주의를 기울이십시오.

PHP vs. Python : 사용 사례 및 응용 프로그램Apr 17, 2025 am 12:23 AM

PHP는 웹 개발 및 컨텐츠 관리 시스템에 적합하며 Python은 데이터 과학, 기계 학습 및 자동화 스크립트에 적합합니다. 1.PHP는 빠르고 확장 가능한 웹 사이트 및 응용 프로그램을 구축하는 데 잘 작동하며 WordPress와 같은 CMS에서 일반적으로 사용됩니다. 2. Python은 Numpy 및 Tensorflow와 같은 풍부한 라이브러리를 통해 데이터 과학 및 기계 학습 분야에서 뛰어난 공연을했습니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

VSCode Windows 64비트 다운로드

Microsoft에서 출시한 강력한 무료 IDE 편집기

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.