基于intval()函数特性的漏洞绕过

已于 2023-10-07 22:23:43 修改
阅读量704 收藏 6
点赞数
文章标签: 开发语言 php web安全
于 2023-08-18 14:48:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/132356059
版权

前言

最近在做ctfshow的时候碰到intval()函数,虽然题目比较简单,却发现有很多的绕过手段,所以写下这篇博客进行总结

intval()函数

函数用于获取变量的整数值。intval函数有个特性:“直到遇上数字或正负符号才开始做转换,在遇到非数字或字符串结束时(\0)结束转换

  • 语法
int intval ( mixed $var [, int $base = 10 ] )

通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object(即是数组),否则会产生 E_NOTICE 错误并返回 1。

参数描述
var要转换成 integer 的数量值。
*base *转化所使用的进制。

Note:

如果 base 是 0,通过检测 var 的格式来决定使用的进制:

  • 如果字符串包括了 “0x” (或 “0X”) 的前缀,使用 16 进制 (hex);否则,
  • 如果字符串以 “0” 开始,使用 8 进制(octal);否则,
  • 将使用 10 进制 (decimal)。

函数的作用非常简单,就是获取变量的整数值
实例:

echo intval(42);            // 42
echo intval(4.2);           // 4
echo intval('42');          // 42
echo intval('+42');         // 42
echo intval('1e3');         //1000

那我们来看看具体题目中的如何绕过

ctf.show 萌新 web1

源代码

(flag in id = 1000)
if(intval($id) > 999){
        # id 大于 999 直接退出并返回错误
        die("id error");
    }else{
        # id 小于 999 拼接sql语句
        $sql = "select * from article where id = $id order by id limit 1 ";
        echo "执行的sql为:$sql<br>";
        # 执行sql 语句
        $result = $conn->query($sql);
        # 判断有没有查询结果
        if ($result->num_rows > 0) {
            # 如果有结果,获取结果对象的值$row
            while($row = $result->fetch_assoc()) {
                echo "id: " . $row["id"]. " - title: " . $row["title"]. " <br><hr>" . $row["content"]. "<br>";
            }
        }
        # 关闭数据库连接
        $conn->close();
    }

分析一下:
我们先上传参数id,如果小于999,进行sql语句拼接查询
那么我们上传的参数id值要小于999,可是题目提示flag在id=1000,完全是矛盾的

方法一

但是我们可以利用intval函数的特性,遇到非数字的直接停止转换,也就是

?id='1000'

这样肯定就小于999,并且又可以查到id=1000
在这里插入图片描述

方法二

遇到非数字的直接停止转换,那么我们再结合sql查询语句中数值型查询会自动进行运算操作
构造payload为?id=999+1
不过由于get传参,url编码一下

?id=999%2B1

执行结果同上

方法三

思路同上

?id=125*8

方法三

利用取反绕过,因为~~1000=1000

?id=~~1000

执行结果同上

方法四

我们再看intval()函数的另一个参数$base,由于默认是$base=10,那么我们传入1000的十六进制即可绕过,因为十六进制为0x开头,intval()函数遇到非数字无法将其转换,即为0小于999

?id=0x3E8

在这里插入图片描述

方法五

按位左移
payload

?id=125<<3

按位左移操作将二进制数向左移动指定的位数,并在右侧用零填充。在这里,125 的二进制表示是 1111101,将其左移3位后,得到 1111101000。将该二进制数转换为十进制,结果为1000。

_rev1ve
关注
WEB攻防基础|PHP|过滤函数intval()绕过原理及方法
m0_73615178的博客
12-19 1759
intval()函数绕过方法思路总结: 一、进制类型转换: 二、弱比较(a==b),可以给a、b两个参数传入数组,使弱比较为true: 三、增加小数位: 四、转换字符串: 五、取反: 六、运用算数运算符:
intval()函数绕过
krafcc的博客
11-02 804
但在传参时一般使用第一种形式,经过测试发现,传参默认都是字符串类型,根据intval的字符串转换规则,如果字符串第一个字符不是数字就会直接返回0,所以后面两种形式都是返回0,只有第一种可以正确返回数字1。方式表示科学计数法时,函数的返回值是科学计数法前面的一个数,而对于科学计数法加数字则会返回科学计数法的数值。intval() 转换数组类型时,不关心数组中的内容,只判断数组中有没有元素,有为1无为0。当 base 为空时,默认值是 0,会根据 $var 的格式来调整转换的进制。根据黑名单的不同,访问?
绕过intval( )
东隅的博客
01-19 3093
绕过方法有很多,比如: ?id='1000' //"1000"或(1000)皆可 ?id=125<<3 //左移 ?id=680|320 //按位或 ?id=992^8 //按位异或 ?id=~~1000 //两次取反 ?id=0x3e8 //十六进制 ?id=0b1111101000 //二进制 这里讲一下?id='1000'(ps: ?id=1000就是不行的) intval('1000')>999的结果确实是True, 但是别忘了还有一个GET提交过程,问题出在这里,原理大概
PHP intval()函数详解,intval()函数漏洞原理及绕过思路
热门推荐
wangyuxiang946的博客
06-17 2万+
intval() 函数可以获取变量的「整数值」。常用于强制类型转换。 进制自动转换 转换数组 转换小数 转换字符串 取反~ 算数运算符 浮点数精度缺失问题 intval()绕过思路
ctfshow-web入门-php特性web89-web95)intval 函数绕过
最新发布
Welcome To Myon'Blog !
07-12 953
如果第一次匹配成功,再次使用正则表达式匹配 $a 是否等于字符串“php”,但这次只有不区分大小写,是单行模式,不会匹配多行,如果第二次没有匹配成功就会输出 flag。也就是说,如果 num 中不包含数字 "0" 就会终止程序,但是还有一种情况,如果这个 0 出现在开头,虽然是找到了有 0 这个字符,但是返回位置为 0 ,if (!== 是相等运算符,在进行比较时,会先将字符串类型转化成相同,再比较,比如比较一个数字和字符串或者比较涉及到数字内容的字符串,字符串会被转换成数值并按照数值来进行比较。
php intval绕过 注入,PHP代码审计片段讲解(入门代码审计、CTF必备)
weixin_36290287的博客
04-12 1826
关于本项目代码审计对于很多安全圈的新人来说,一直是一件头疼的事情,也想跟着大牛们直接操刀审计CMS?却处处碰壁:函数看不懂!漏洞原理不知道!PHP特性更不知!那还怎么愉快审计?不如化繁为简,跟着本项目先搞懂PHP中大多敏感函数与各类特性,再逐渐增加难度,直到可以吊打各类CMS~本项目讲解基于多道CTF题,玩CTF的WEB狗也不要错过(^-^)V题的源码在Github: bowu (Github),...
ctfshow-萌新-web2( 利用intval函数特性配合SQL的特殊符号获取敏感数据 )_intvaluectf
2401_84298087的博客
04-28 891
页面中给出了源码,并提示我们 id=1000时,即可获取flag这里有两个关键点,首先是intval()函数的转换,我们可以利用intval函数转换字符串时的特性,来绕过校验,输入一下payload,即可获取flag?id=2*500intval()函数转换整数类型使,会原样转换;而转化字符串类型时( get请求获取的参数都是字符串类型)会从第一个字符开始转换,直到遇到不是数字的字符才会停止转换。
SSRF漏洞寻找、利用、绕过与防御、验证
7Riven's blog
12-03 3388
目录 1.SSRF简介 2.漏洞寻找 3.漏洞产生 4.漏洞利用 5.漏洞绕过 6.漏洞防御 7.验证SSRF 1.SSRF简介 SSRF概念 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,利用服务器端发起的安全漏洞。 SRF的类型 显示攻击者的响应(Basic) 不显示响应(Blind) SSRF攻击目标 ...
解析PHPintval()等int转换时的意外异常情况
12-19
先看看下面的网上的一个测试代码:复制代码 代码如下:<?php$a = 9.45*100;var_dump($a);var_dump(intval($a));$a = 945*1.00;var_dump($a);var_dump(intval($a));?><SPAN style=”WIDOWS: 2; TEXT-TRANSFORM: none; TEXT-INDENT: 0px; DISPLAY: inline !important; FONT: 12px Simsun; WHITE-SPACE: normal; ORPHANS: 2; FLOAT: none; LETTER-SPACING
intval md5绕过之[WUSTCTF2020]朴实无华
qq_58970968的博客
07-24 1163
intval函数还可以用于判断回文串,因为intval函数的最大值取决于操作系统,如果字符串的回文超过了最大的范围值,那么返回的值就也是原来的字符串,就会变成回文串,实现了绕过函数的使用方法,当函数中用字符串方式表示科学计数法时,函数的返回值是科学计数法前面的一个数,而对于科学计数法加数字则会返回科学计数法的数值。$a==md5($a)时使用科学计数0e215962017。可以使用0e开头的科学计数来绕过,使用。扫描文件发现robots.txt;==bmd值要相等;使用工具,或者数组;...
PHP黑魔法之intval绕过
Thewei666的博客
05-15 512
当 op 字符串长度大于 1 时或者长度等于 1 且这个字符不是 0 时,条件判断为真由此可以得出:空字符、"0" 和 0 作为条件判断时都等同于 false。
php intval绕过,PHP intval函数安全应用技巧
weixin_39813200的博客
03-22 1728
我们学习一、PHP intval函数描述intval函数有个特性:"直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时()结束转换",在某些应用程序里由于对intval函数这个特性认识不够,错误的使用导致绕过一些安全判断导致安全漏洞.二、PHP intval函数分析PHP_FUNCTION(intval){zval **num, **arg_base;int base;switch (...
php intval 漏洞,intval()使用不当导致安全漏洞的分析
weixin_29294597的博客
03-20 970
author: xy7#80sec.comfrom:http://www.80vul.com/pch/一 描叙intval函数有个特性:"直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时(\0)结束转换",在某些应用程序里由于对intval函数这个特性认识不够,错误的使用导致绕过一些安全判断导致安全漏洞.二 分析PHP_FUNCTION(intval){zval **num, **a...
intval绕过和chr的利用
https://www.cnblogs.com/zpchcbd/
05-02 3810
题目 <?php error_reporting(0); $flag = 'OKOKOKOK' //老样子 自定义一个flag $value = $_GET['value']; //接受value参数 $password = $_GET['password']; //接受get参数 $username = ''; for ($i = 0; $i < count($value);...
php intval 漏洞,PHP内置函数intval()使用不当的安全漏洞分析
weixin_39946266的博客
03-20 377
一、描述intval函数有个特性:”直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时()结束转换”,在某些应用程序里由于对intval函数这个特性认识不够,错误的使用导致绕过一些安全判断导致安全漏洞.PHP_FUNCTION(intval){zval **num, **arg_base;int base;switch (ZEND_NUM_ARGS()) {case 1:if (zen...
php intval 漏洞,php intval() 小数时安全漏洞分析
weixin_34489135的博客
03-20 211
本文章先来介绍了php intval简单用法,它可以把字符,数字,小数转换灰数字型数据,但在转换时会出现一些问题如小数1.1就会转换成1,下面看实例。变量转成整数类型。语法: int intval(mixed var, int [base]);返回值: 整数函数种类: PHP 系统功能内容说明本函数可将变量转成整数类型。可省略的参数 base 是转换的基底,默认值为 10。转换的变量 var 可以...
intval函数
05-24
intval函数是一个PHP函数,用于将变量转换为...在上面的示例中,变量$num是一个字符串,它被传递给intval函数,该函数将其解析为整数并将其赋值给$int_num变量。最后,使用echo语句将$int_num变量的值输出到屏幕上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值