php中得strcmp()函数的漏洞:
strcmp(a1,a2)函数用来比较两个字符串是否相等的,比较的是对应字符的ascii码,如果相等返回0,当a1的ascii大于a2的返回小于0,a1的ascii码小于a2的,返回大于0.
但是这个函数是存在漏洞的,我们知道这个函数是用来比较字符串的,但是当我们传入为数组是,那变成字符串和数组进行比较了,因此php在5.2之前,默认返回的-1,5.2版本之后返回0.因此有时我们便可以利用这个漏洞。
比如:
<?php
error_reporting();
$flag=$_GET['flag'];
if(strcmp('Waldo_cuit',$flag)){
echo 'NO!';
}
else{
echo 'YES!';
}
?>
php中的ereg(a1,a2)函数的漏洞:
用指定模式搜索一个字符串中的指定字符串,成功返回ture失败返回false。
根据定义知道,我们的对象是字符串,因此当我们传入的是一个数组时,这个函数便会返回NULL,因此我们可以利用这个漏洞。
例如:
<?php
if (isset ($_GET['password']))
{
if (ereg ("^[a-zA-Z0-9]+$",$_GET['password']) === FALSE)
{
echo '<p>You password must be alphanumeric</p>';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
if (strpos ($_GET['password'], '*-*') !== FALSE)
{
die('Flag: ' . $flag);
}
else
{
echo('<p>*-* have not been found</p>');
}
}
else
{
echo '<p>Invalid password</p>';
}
}
?>
这便是一道ctf题我们使用ereg函数的漏洞传入一个数组,但这个函数处理数组时便会返回一个NULL,然后NULL和false比较,便可以绕过条件。
php中的extract函数漏洞:
extract(a1)函数存在漏洞,可以使用这个函数将原来的变量进行覆盖,a1表示一个数组,这个函数的作用便是将a1数组中的键当成一个变量,数组的值作为这个变量的值,最后返回的是成功生成的变量数目,这些变量可以在当前页面中使用。
比如:
在第三行使用这个函数将get获得的变量添加到符号列表中,因此我们可以构造get中传入的值,将filename变量覆盖掉。
当我们将filename值为空字符串时,combination变量的值便会为空字符串,便可以通过验证了。
php中的sha1(a1,a2) md5(b1,b2)函数的漏洞:
sha1()函数是一种加密算法,有两个参数,a1表示被加密的字符串,a2表示规定16进制还是二进制输出,这个参数是可选的TRUE - 原始 20 字符二进制格式 FALSE - 默认。40 字符十六进制数。返回值但成功时返回sha-1的散列值,当失败时返回false。
md5()函数和sha1()类似,也是一种加密方式,
可选。规定十六进制或二进制输出格式:
TRUE - 原始 16 字符二进制格式 FALSE - 默认。32 字符十六进制数
md5()的返回值:但加密成功时,返回加密后的散列值,失败时返回false.
这两个函数都是存在漏洞的,我们知道这两个函数的第一个参数都表示被加密的字符串,但是当我们传进一个数组时,这两个函数的返回值都为NULL
is_numeric(a1)函数存在的漏洞:
这个函数用来判断a1是否是一个数字,这个函数判断的范围比较广,返回值为ture或false 但为数字,字符串数字(‘43242’),二进制,八进制,十六进制数字是返回ture。
漏洞分析:https://www.cnblogs.com/windclouds/p/5413115.html
2307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
