對php中弱型別轉換的實現-php教程-PHP中文網

首頁

後端開發

php教程

對php中弱型別轉換的實現

不言

Jul 24, 2018 am 11:51 AM

ctf

這篇文章分享給大家的內容是關於php裡弱型轉換，內容很有參考價值，希望可以幫到有需要的小夥伴。

1 前言

最近CTF比賽，不只一次的出了php弱型別的題目，藉此想總結一下關於php弱型別以及繞過方式

2 知識介紹

php中有兩種比較的符號== 與===

1 <?php
2 $a = $b ;
3 $a===$b ;
4 ?>

=== 在進行比較的時候，會先判斷兩個字串的型別是否相等，再比較

== 在進行比較的時候，會先將字串型別轉換成相同，再比較

如果比较一个数字和字符串或者比较涉及到数字内容的字符串，则字符串会被转换成数值并且比较按照数值来进行

這裡明確了說如果一個數值和字串進行比較的時候，會將字串轉換成數值

1 <?php
2 var_dump("admin"==0);  //true
3 var_dump("1admin"==1); //true
4 var_dump("admin1"==1) //false
5 var_dump("admin1"==0) //true
6 var_dump("0e123456"=="0e4456789"); //true 
7 ?>  //上述代码可自行测试

1 觀察上述程式碼，"admin"==0 比較的時候，會將admin轉換成數值，強制轉換,由於admin是字串，轉換的結果是0自然和0相等
2 "1admin"==1 比較的時候會將1admin轉換成數值,結果為1，而「admin1「==1 卻等於錯誤，也就是"admin1"被轉化成了0,為什麼？？ 3 "0e123456"=="0e456789"相互比較的時候，會將0e這類字串辨識為科學技術法的數字，0的無論多少次方都是零，所以相等

#對於上述的問題我查了php手冊

當一個字串欸當作一個數值來取值，其結果和類型如下:如果該字串沒有包含'.', 'e','E'並且其數值值在整形的範圍之內
該字串被當作int來取值，其他所有情況下都被作為float來取值，該字串的開始部分決定了它的值，如果字串以合法的數值開始，則使用該數值，否則其值為0。

1 <?php
2 $test=1 + "10.5"; // $test=11.5(float)
3 $test=1+"-1.3e3"; //$test=-1299(float)
4 $test=1+"bob-1.3e3";//$test=1(int)
5 $test=1+"2admin";//$test=3(int)
6 $test=1+"admin2";//$test=1(int)
7 ?>

所以就解釋了"admin1"==1 =>False 的原因

3 實戰

md5繞過(Hash比較缺陷)

 1 <?php
 2 if (isset($_GET[&#39;Username&#39;]) && isset($_GET[&#39;password&#39;])) {
 3     $logined = true;
 4     $Username = $_GET[&#39;Username&#39;];
 5     $password = $_GET[&#39;password&#39;];
 6 
 7      if (!ctype_alpha($Username)) {$logined = false;}
 8      if (!is_numeric($password) ) {$logined = false;}
 9      if (md5($Username) != md5($password)) {$logined = false;}
10      if ($logined){
11     echo "successful";
12       }else{
13            echo "login failed!";
14         }
15     }
16 ?>

題目大意是要輸入一個字串和數字類型，並且他們的md5值相等，就可以成功執行下一步語句

介紹一批md5開頭是0e的字串上文提到過，0e在比較的時候會將其視作為科學計數法，所以無論0e後面是什麼，0的多少次方還是0。 md5('240610708') == md5('QNKCDZO')成功繞過!

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020
  
s155964671a
0e342768416822451524974117254469
  
s214587387a
0e848240448830537924465865611904
  
s214587387a
0e848240448830537924465865611904
  
s878926199a
0e545993274517709034328855841020
  
s1091221200a
0e940624217856561557816327384675
  
s1885207154a
0e509367213418206700842008763514

json繞過

<?php
if (isset($_POST[&#39;message&#39;])) {
    $message = json_decode($_POST[&#39;message&#39;]);
    $key ="*********";
    if ($message->key == $key) {
        echo "flag";
    } 
    else {
        echo "fail";
    }
 }
 else{
     echo "~~~~";
 }
?>

輸入一個json類型的字串，json_decode函數解密成一個數組，判斷數組中key的值是否等於$key的值，但是$key的值我們不知道，但是可以利用0=="admin"這種形式繞過

最終payload message={"key":0}

array_search is_array繞過

 1 <?php
 2 if(!is_array($_GET[&#39;test&#39;])){exit();}
 3 $test=$_GET[&#39;test&#39;];
 4 for($i=0;$i<count($test);$i++){
 5     if($test[$i]==="admin"){
 6         echo "error";
 7         exit();
 8     }
 9     $test[$i]=intval($test[$i]);
10 }
11 if(array_search("admin",$test)===0){
12     echo "flag";
13 }
14 else{
15     echo "false";
16 }
17 ?>

上面是自己寫的一個，先判斷傳入的是不是數組，然後循環遍歷數組中的每個值，並且數組中的每個值不能和admin相等，並且將每個值轉換為int類型，再判斷傳入的數組是否有admin，有則返回flag

payload test[]=0可以繞過

以下是官方手冊對array_search的介紹

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle，$haystack必需，$strict可選函數判斷$ haystack中的值是存在$needle，存在則傳回該值的鍵值第三個參數預設為false，如果設為true則會進行嚴格篩選

1 <?php
2 $a=array(0,1);
3 var_dump(array_search("admin",$a)); // int(0) => 返回键值0
4 var_dump(array_seach("1admin",$a));  // int(1) ==>返回键值1
5 ?>

array_search函數類似於== 也就是$ a=="admin" 當然是$a=0 當然如果第三個參數為true則不能繞過

strcmp漏洞繞過php -v

 1 <?php
 2     $password="***************"
 3      if(isset($_POST[&#39;password&#39;])){
 4 
 5         if (strcmp($_POST[&#39;password&#39;], $password) == 0) {
 6             echo "Right!!!login success";n
 7             exit();
 8         } else {
 9             echo "Wrong password..";
10         }
11 ?>

strcmp是比較兩個字串，如果str10 如果兩者相等回傳0

我們是不知道$password的值的，題目要求strcmp判斷的接受的值和$password必需相等，strcmp傳入的期望類型是字串類型，如果傳入的是數組會怎麼樣呢

我們傳入password[]=xxx 可以繞過是因為函數接受到了不符合的類型，將發生錯誤，但是還是判斷其相等

payload: password[]=xxx

switch繞過

 1 <?php
 2 $a="4admin";
 3 switch ($a) {
 4     case 1:
 5         echo "fail1";
 6         break;
 7     case 2:
 8         echo "fail2";
 9         break;
10     case 3:
11         echo "fail3";
12         break;
13     case 4:
14         echo "sucess";  //结果输出success;
15         break;
16     default:
17         echo "failall";
18         break;
19 }
20 ?>

這種原理和前面的類似，就不詳細解釋了

4 總結

這些php弱型別只是冰山一角上述驗證了程式碼審計的重要性

相關推薦：

PHP中關鍵字var的用法範例

php佇列處理：php訊息佇列實作原理（圖文）

以上是對php中弱型別轉換的實現的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

您什麼時候使用特質與PHP中的抽像類或接口？Apr 10, 2025 am 09:39 AM

在PHP中，trait適用於需要方法復用但不適合使用繼承的情況。 1)trait允許在類中復用方法，避免多重繼承複雜性。 2)使用trait時需注意方法衝突，可通過insteadof和as關鍵字解決。 3)應避免過度使用trait，保持其單一職責，以優化性能和提高代碼可維護性。

什麼是依賴性注入容器（DIC），為什麼在PHP中使用一個？Apr 10, 2025 am 09:38 AM

依賴注入容器（DIC）是一種管理和提供對象依賴關係的工具，用於PHP項目中。 DIC的主要好處包括：1.解耦，使組件獨立，代碼易維護和測試；2.靈活性，易替換或修改依賴關係；3.可測試性，方便注入mock對象進行單元測試。

與常規PHP陣列相比，解釋SPL SplfixedArray及其性能特徵。Apr 10, 2025 am 09:37 AM

SplFixedArray在PHP中是一種固定大小的數組，適用於需要高性能和低內存使用量的場景。 1)它在創建時需指定大小，避免動態調整帶來的開銷。 2)基於C語言數組，直接操作內存，訪問速度快。 3)適合大規模數據處理和內存敏感環境，但需謹慎使用，因其大小固定。

PHP如何安全地上載文件？Apr 10, 2025 am 09:37 AM

PHP通過$\_FILES變量處理文件上傳，確保安全性的方法包括：1.檢查上傳錯誤，2.驗證文件類型和大小，3.防止文件覆蓋，4.移動文件到永久存儲位置。

什麼是無效的合併操作員（??）和無效分配運算符（?? =）？Apr 10, 2025 am 09:33 AM

JavaScript中處理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。 1.??返回第一個非null或非undefined的操作數。 2.??=將變量賦值為右操作數的值，但前提是該變量為null或undefined。這些操作符簡化了代碼邏輯，提高了可讀性和性能。

什麼是內容安全策略（CSP）標頭，為什麼重要？Apr 09, 2025 am 12:10 AM

CSP重要因為它能防範XSS攻擊和限制資源加載，提升網站安全性。 1.CSP是HTTP響應頭的一部分，通過嚴格策略限制惡意行為。 2.基本用法是只允許從同源加載資源。 3.高級用法可設置更細粒度的策略，如允許特定域名加載腳本和样式。 4.使用Content-Security-Policy-Report-Only頭部可調試和優化CSP策略。