PHP에서 약한 유형 변환 구현

이 기사에서 공유한 내용은 PHP의 약한 유형 변환에 관한 것입니다. 이 내용은 도움이 필요한 친구들에게 큰 도움이 되기를 바랍니다.

1 서문

최근 CTF 대회에서 PHP 약한 유형에 대한 질문이 여러 번 나왔습니다. PHP 약한 유형과 이를 우회하는 방법을 요약하고 싶습니다.

2 지식 소개

php에는 ==와 ===

1 <?php
2 $a = $b ;
3 $a===$b ;
4 ?>

=== 두 가지 비교 기호가 있습니다. 두 문자열의 타입이 같은지 먼저 판단 후 비교

== 비교 시 문자열 타입을 먼저 동일하게 변환한 후 비교

如果比较一个数字和字符串或者比较涉及到数字内容的字符串，则字符串会被转换成数值并且比较按照数值来进行

#🎜 🎜#여기서는 값을 문자열과 비교하면 문자열이 값으로 변환된다고 명시되어 있습니다.

1 <?php
2 var_dump("admin"==0);  //true
3 var_dump("1admin"==1); //true
4 var_dump("admin1"==1) //false
5 var_dump("admin1"==0) //true
6 var_dump("0e123456"=="0e4456789"); //true 
7 ?>  //上述代码可自行测试

1 위의 코드 "admin"=을 준수하세요. =0 비교 이때 admin은 숫자값으로 변환되어 강제 변환됩니다. admin은 문자열이므로 변환 결과는 0이므로 당연히 0이 됩니다.

2 "1admin"==1 일 때 비교하면 1admin이 숫자로 변환되어 결과가 1이 되는데 "admin1"==1은 오류, 즉 "admin1"이 0으로 변환되는 이유는 무엇일까요? ? 3 "0e123456"=="0e456789" 0e와 같은 문자열은 서로 비교하면 과학기술법상 숫자로 인식됩니다. 0의 거듭제곱은 0이므로 같습니다#🎜🎜 #
# 🎜🎜#
위 문제에 대해서는 php 매뉴얼을 확인해보니

문자열을 숫자로 처리할 경우 결과와 타입은 다음과 같습니다: 문자열에 '.', 'e', ​​​​'E'가 포함되지 않고 해당 숫자 값이 정수 문자열의 범위 내에 있는 경우#문자열은 int로 처리되며, 그 외의 모든 문자열은 int로 처리됩니다. float로 처리되는 경우 문자열의 시작 부분이 해당 값을 결정합니다. 문자열이 유효한 값으로 시작하면 해당 값이 사용됩니다. 그렇지 않으면 해당 값은 0입니다.

1 <?php
2 $test=1 + "10.5"; // $test=11.5(float)
3 $test=1+"-1.3e3"; //$test=-1299(float)
4 $test=1+"bob-1.3e3";//$test=1(int)
5 $test=1+"2admin";//$test=3(int)
6 $test=1+"admin2";//$test=1(int)
7 ?>

이것이 "admin1"==1 =>False인 이유를 설명합니다

3 실제 전투

md5 우회( 해시 비교 결함)

 1 <?php
 2 if (isset($_GET[&#39;Username&#39;]) && isset($_GET[&#39;password&#39;])) {
 3     $logined = true;
 4     $Username = $_GET[&#39;Username&#39;];
 5     $password = $_GET[&#39;password&#39;];
 6 
 7      if (!ctype_alpha($Username)) {$logined = false;}
 8      if (!is_numeric($password) ) {$logined = false;}
 9      if (md5($Username) != md5($password)) {$logined = false;}
10      if ($logined){
11     echo "successful";
12       }else{
13            echo "login failed!";
14         }
15     }
16 ?>

질문의 주요 아이디어는 문자열과 숫자 유형을 입력하고 md5 값이 동일하면 다음 명령문을 성공적으로 실행할 수 있습니다 # 🎜🎜#

소개 1 0e로 시작하는 배치 md5 문자열은 위에 언급되어 있습니다.

0e는 비교 시 과학적 표기법으로 간주되므로 0e 뒤에 무엇이 오더라도 0의 거듭제곱은 여전히 ​​0입니다#🎜 🎜# .

md5('240610708') == md5('QNKCDZO')

우회에 성공했습니다!

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020
  
s155964671a
0e342768416822451524974117254469
  
s214587387a
0e848240448830537924465865611904
  
s214587387a
0e848240448830537924465865611904
  
s878926199a
0e545993274517709034328855841020
  
s1091221200a
0e940624217856561557816327384675
  
s1885207154a
0e509367213418206700842008763514

json 우회

<?php
if (isset($_POST[&#39;message&#39;])) {
    $message = json_decode($_POST[&#39;message&#39;]);
    $key ="*********";
    if ($message->key == $key) {
        echo "flag";
    } 
    else {
        echo "fail";
    }
 }
 else{
     echo "~~~~";
 }
?>

json 입력 문자열 , json_decode 함수는 이를 배열로 해독하고 배열의 키 값이 $key 값과 같은지 확인하지만 $key 값을 모릅니다. 그러나 우리는 양식 0=="admin" 우회

최종 페이로드 메시지={"key":0}

array_search is_array 우회

 1 <?php
 2 if(!is_array($_GET[&#39;test&#39;])){exit();}
 3 $test=$_GET[&#39;test&#39;];
 4 for($i=0;$i<count($test);$i++){
 5     if($test[$i]==="admin"){
 6         echo "error";
 7         exit();
 8     }
 9     $test[$i]=intval($test[$i]);
10 }
11 if(array_search("admin",$test)===0){
12     echo "flag";
13 }
14 else{
15     echo "false";
16 }
17 ?>

위는 내가 작성한 것입니다. 먼저 들어오는 값이 배열인지 확인한 다음 배열의 각 값을 반복하고 배열의 각 값은 admin과 같을 수 없으며 각각을 변환합니다. 값을 int 형식으로 입력한 다음 수신 배열에 admin이 포함되어 있는지 확인합니다. 그렇다면 플래그

payload test[]=0을 우회할 수 있습니다

다음 array_search# 공식 매뉴얼 소개입니다. 🎜🎜#

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle, $haystack은 필수, $strict는 선택 사항입니다. 이 함수는 $haystack의 값이 $needle에 있는지 확인하고 해당 키 값을 반환합니다. 세 번째 매개변수의 기본값은 false입니다. true로 설정하면 엄격한 필터링이 수행됩니다.

1 <?php
2 $a=array(0,1);
3 var_dump(array_search("admin",$a)); // int(0) => 返回键值0
4 var_dump(array_seach("1admin",$a));  // int(1) ==>返回键值1
5 ?>

array_search 함수는 ==와 유사합니다. 즉, $a=="admin" 물론 $a=0 물론 세 번째 매개변수가 true이면 우회할 수 없습니다# 🎜🎜#

strcmp 취약점 우회 php -v f6793bee5afbdc310910ed7b2f71821b 0을 반환합니다. 둘이 같으면 0을 반환합니다

우리는 $password 값을 모릅니다. strcmp에서 판단한 허용 값과 $password는 동일해야 합니다. strcmp에서 전달한 예상 유형은 문자열 유형입니다.

비밀번호[]=xxx를 전달하면 어떻게 되나요? 함수가 호환되지 않는 유형을 수신하면 오류가 발생하기 때문에 이를 우회할 수 있지만 여전히 동일하다고 판단됩니다.#🎜 🎜#

payload: 비밀번호[]=xxx

switch Bypass

 1 <?php
 2 $a="4admin";
 3 switch ($a) {
 4     case 1:
 5         echo "fail1";
 6         break;
 7     case 2:
 8         echo "fail2";
 9         break;
10     case 3:
11         echo "fail3";
12         break;
13     case 4:
14         echo "sucess";  //结果输出success;
15         break;
16     default:
17         echo "failall";
18         break;
19 }
20 ?>

이 원리는 앞의 원리와 유사하므로 자세히 설명하지 않겠습니다

4 요약

이러한 PHP 약한 유형은 위의 내용은 코드 감사의 중요성을 확인합니다

관련 권장 사항:

#🎜 🎜#PHP에서 var 키워드 사용 예

php 대기열 처리: PHP 메시지 대기열 구현 원리(그림 및 텍스트)

위 내용은 PHP에서 약한 유형 변환 구현의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!