PHP弱类型记录

最新推荐文章于 2024-04-09 10:50:34 发布
最新推荐文章于 2024-04-09 10:50:34 发布
阅读量155 收藏
点赞数
分类专栏: web安全 文章标签: php web安全
原文链接:https://www.cnblogs.com/Mrsm1th/p/6745532.html
版权
本文探讨了PHP中MD5的弱类型特性如何导致0e开头字符串的意外匹配,以及strcmp、json_decode和array_search等函数的漏洞利用技巧。通过实例展示了如何利用这些漏洞进行字符串比较和数组操作的绕过,适合理解类型安全在PHP中的重要性。
摘要由CSDN通过智能技术生成

记录

PHP弱类型 md5为0e开头的字符串

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020
  
s155964671a
0e342768416822451524974117254469
  
s214587387a
0e848240448830537924465865611904
  
s214587387a
0e848240448830537924465865611904
  
s878926199a
0e545993274517709034328855841020
  
s1091221200a
0e940624217856561557816327384675
  
s1885207154a
0e509367213418206700842008763514

strcmp漏洞绕过 php -v <5.3

<?php
    $password="***************"
     if(isset($_POST['password'])){

        if (strcmp($_POST['password'], $password) == 0) {
            echo "Right!!!login success";n
            exit();
        } else {
            echo "Wrong password..";
        }
?>

strcmp是比较两个字符串,如果str1<str2 则返回<0 如果str1大于str2返回>0 如果两者相等 返回0。
我们是不知道 p a s s w o r d 的 值 的 , 题 目 要 求 s t r c m p 判 断 的 接 受 的 值 和 password的值的,题目要求strcmp判断的接受的值和 passwordstrcmppassword必需相等,strcmp传入的期望类型是字符串类型,如果传入的是个数组会怎么样呢
我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型,将发生错误,但是还是判断其相等
payload: password[]=xxx

json绕过

<?php
if (isset($_POST['message'])) {
    $message = json_decode($_POST['message']);
    $key ="*********";
    if ($message->key == $key) {
        echo "flag";
    } 
    else {
        echo "fail";
    }
 }
 else{
     echo "~~~~";
 }
?>

输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于 k e y 的 值 , 但 是 key的值,但是 keykey的值我们不知道,但是可以利用0=="admin"这种形式绕过

最终payload message={“key”:0}

array_search is_array绕过

<?php
if(!is_array($_GET['test'])){exit();}
$test=$_GET['test'];
for($i=0;$i<count($test);$i++){
    if($test[$i]==="admin"){
        echo "error";
        exit();
    }
    $test[$i]=intval($test[$i]);
}
if(array_search("admin",$test)===0){
    echo "flag";
}
else{
    echo "false";
}
?>

上面是自己写的一个,先判断传入的是不是数组,然后循环遍历数组中的每个值,并且数组中的每个值不能和admin相等,并且将每个值转化为int类型,再判断传入的数组是否有admin,有则返回flag

payload test[]=0可以绕过

下面是官方手册对array_search的介绍

mixed array_search ( mixed $needle , array $haystack [, bool $strict =
false ] ) n e e d l e , needle, needlehaystack必需, s t r i c t 可 选 函 数 判 断 strict可选 函数判断 stricthaystack中的值是存在$needle,存在则返回该值的键值 第三个参数默认为false,如果设置为true则会进行严格过滤

 <?php
 $a=array(0,1);
 var_dump(array_search("admin",$a)); // int(0) => 返回键值0
 var_dump(array_seach("1admin",$a));  // int(1) ==>返回键值1
 ?>

array_search函数 类似于== 也就是 a = = " a d m i n " 当 然 是 a=="admin" 当然是 a=="admin"a=0 当然如果第三个参数为true则就不能绕过

kinnisoy
关注
专栏目录
PHP类型安全问题详细总结
01-21
前言 ...小编之所以认为php很强大是因为php提供了很多独有的特性工开发者使用,其中一个就是php类型机制。 在PHP中,可以进行一下的操作。 $param = 1; $param = array(); $param = stringg;
PHP类型总结
一枚菜鸡
10-20 1159
一、两种等于号 == , === php中有两种比较的符号 == 与 === === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同类型,再比较 如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行 <?php var_dump("admin"==0); //true var_dump("1admin"==1); //true,开头为1 var_dump("admin1"==1) //fa
CTF中的一些常见骚操作(可以没有,但不能不会)
kali_Ma的博客
07-19 2084
0X01:前言 近期刷了挺多的ctf题,总结了一些ctf中常见的骚姿势。 0X02:来啦来啦,骚姿势总结 一. 类型比较 ctf中见怪不怪了,经常已经知道题目要考察的是什么知识了,传参都要用个类型比较来为难一下我们。 ‘=’,‘’,‘=’ 一个等于是赋值,两个等于是将两个变量转相同的类型再比较,三个等于先比较变量类型是否相同再比较值。 非相同类型比较 如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行 先看几组比较结果: 当我们用字.
浅谈CTF中各种花式绕过的小trick
ph0ebus的博客
02-23 4702
在代码审计的时候,我们不难发现很多很多的函数需要我们bypass,这些知识点很多又很小,基本上是一眼就明白,但是下一次遇见又不太清晰,需要反反复复查找,这篇文章浅浅做个汇总,如有不足,欢迎补充。
Php ajax inserch,php中in_array()和array_search()的类型问题
weixin_29250403的博客
08-05 652
晚上基佬pcat突然问我一个题怎么做,其实我也很绝望啊。也是第一次见这个套路丢出代码大家观赏if(is_array(@$b["a"])){echo "1";echo "\n";if(count($b["a"])!==2 OR !is_array($b["a"][0])) die("ha1");$c = array_search("JILAO", $b["a"]);$c===false?die("h...
攻防世界题目练习——Web难度1(1),含BATJM大厂
最新发布
2401_84138785的博客
04-09 357
foreach仅能用于遍历数组,每次循环中,当前单元的键值被赋给 $val,当前单元的键名也会在每次循环中被赋给变量 $key。参考博客:PHP: foreach - Manual因此我们可以读懂对"n"的要求: 是数组、数组有2个元素、且第一个元素是数组。 if里面的内容: 要求存在键值"DGGJ"; 后面foreach循环又说明遇到值为"DGGJ"的就退出; 这里看起来很矛盾,因此需要绕过其中一个条件。 参考博客的题解: CTF之旅WEB篇(8)–[xctf] 江苏工匠杯easyphp 指出函数可以绕过
PHP内核探索:变量存储与类型使用说明
10-26
PHP的变量赋值不需要指定类型,但是PHP内部使用zval结构来记录类型信息,从而能够支持类型的特性。例如,一个变量如果开始存储一个整数,其zval结构中的type字段将是IS_LONG。如果这个变量被赋予一个字符串,zval...
php7.4中文手册.chm
09-23
1. 变量:PHP7.4继续支持类型系统,但同时也强化了类型提示和类型检查,提高了代码的严谨性。 2. 控制流程:包括条件语句(if/else)、循环(for/while/do/foreach)、switch/case等,以及跳转语句(break/...
php
03-11
5. **服务器脚本**:处理文件上传、定时任务、日志记录等后台任务。 PHP 8的新特性: 1. **Just-In-Time (JIT) 编译器**:引入JIT编译,提高代码执行速度。 2. **命名空间改进**:更灵活的类和函数导入方式,如`...
PHP连接access数据库
10-24
PHP开发中,有时候需要连接到各种类型的数据库,包括关系型数据库如MySQL,以及像Microsoft Access这样的小型数据库系统。本文将详细讲解如何在PHP环境中使用ActiveX Data Objects (ADO) 连接并操作Access数据库。...
CTF_Webphp类型绕过与md5碰撞
AFCC_的博客(Web_Dog)
08-09 8372
0x00 前言 md5碰撞只是一种掌握php类型的方式,类型的内容有很多,数组、字符串比较等等,但不论以哪种方式考,涉及的知识点都是相通的,希望通过对基础知识的分享与大家一同学习进步。 0x01 什么是md5 “MD5,即消息摘要算法(英语:MD5 Message-Digest Algorithm)。是一种被广泛使用的密码散列函数,将数据(如一段文字)运算变为另一固定长度值,是散列算法的基础原理,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 显然12
CTF中常见的php函数绕过(保持更新)
xuchen16的博客
09-20 2558
转载自:https://blog.csdn.net/csu_vc/article/details/78440021 is_numeric()用于判断是否是数字,通常配合数值判断 is_numeric(@$a["param1"])?exit:NULL; if(@$a["param1"]){ ($a["param1"]&gt;2017)?$v1=1:NULL; } //param1不能是...
慎用php的array_search函数
weixin_34258838的博客
08-10 316
2019独角兽企业重金招聘Python工程师标准>>> ...
php array_search参数,php array_search()函数的使用详解
weixin_42598278的博客
03-20 364
大家好,今天给大家分享的是php array_search()函数的使用详解,希望大家喜欢。我们在php开发的时候,有时候我们想要去从数组中去查找某个值,我们可以使用array_search()函数,这个只能查询一维数组。如果我们查询到数组中存在该值的话,就会返回当前值的key,如果没有该值的话,我们返回的是false。那么这个函数有三个参数,第一个参数是:需要在数组中搜索的值,这个是必填参数。...
PHP中array_search函数,php array_search()函数的使用详解
weixin_35755188的博客
04-05 996
array_search()函数是PHP的一个内置函数,用于在数组中搜索特定的值,如果找到该值,它将返回相应的键。如果有多个值,则返回第一个匹配值的键。语法:array_search($value, $array, strict_parameter)参数:这个函数有三个参数,如下所示:$value (必需):引用需要在数组中搜索的值。$array(必填):引用需要搜索的原始数组。strict_pa...
Header:请求头参数详解
panying1的博客
12-08 2736
Header 解释 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding 指定浏览器可以支持的web服务器返回内
CTF之PHP代码审计1
bmth666的博客
03-10 3874
类型 $a==$b 等于 ture:如果类型转换后$a等于$b $a===$b 全等 ture:如果$a等于$b,并且他们的类型也相同 如果一个数值和一个字符串比较,那么会将字符串转换为数值 <?php var_dump(true==2);//true var_dump(true==0);//false var_dump(''==0);//true var_dump(0==false);/...
php 类型总结
m0_51428325的博客
12-26 1496
知识介绍: php中有两种比较的符号`==`与`===`** <?php $a == $b; $a === $b; ?> ===在进行比较的时候,会先判断两种字符传类型是否相等,再比较 1、==和=== ==为相等,也就是说12=="12" --> true,而且12=="12cdf" --> true,只取字符串中开头的整数部分,但是1e3dgf这样的字符串在比较时,取的是符合科学计数法的部分:1e3,也就是1000. 而且bool类型的true
揭秘PHP内核:类型变量深度解析
在深入PHP内核的第一部分,王帅讲解了PHP类型变量原理。PHP作为一种简洁且功能强大的Web开发语言,其核心执行引擎——ZendEngine (ZE) 是用C语言编写的。类型PHP的一个关键特性,它允许开发者在编程过程中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值