PHP代码审计

PHP 是一种创建动态交互性站点的强有力的服务器端脚本语言。

PHP 是免费的，并且使用非常广泛。同时，对于像微软 ASP 这样的竞争者来说，PHP 无疑是另一种高效率的选项。

PHP 脚本以 <?php 开始，以 ?> 结束。每个代码行都必须以分号结束。分号是一种分隔符，用于把指令集区分开来。

PHP弱类型

当字符串与数字使用==进行比较时，会将字符串类型转换成数字型再进行比较（如果两边都是字符串，则双方都转换为数字型），只比较转换后的数值的大小

（1）当字符串的开始部分不存在数值时会把该字符串转换成数值0(也就是不和法)
（2）当字符串的开始部分有合法数值时，会把该字符串转换成该合法数值（取从最开始后面连续的数值，可以见下面的例子）
（3）当字符串中存在合法数值但合法数值不在开始部分，那么字符串仍然会转换成数值0
（4）当字符串中包含e或E时，系统会将其识别为科学记数法（0^n均为0）（0e123456=0E789=0）

也就是：

字符串的开始部分决定了它的值，如果该字符串以合法的数值开始，则使用该数值，否则其值为0。

<?php
var_dump('root' == 0);
//true//分析：先将字符串root转化成和0同等类型即数字型，因为字符串开始没有合法数值，则字符串root转换为0，最后0==0,所以成立。
var_dump(0 == 'root');
//true//分析：先将字符串root转化成和0同等类型即数字型，因为字符串开始没有合法数值，则字符串root转换为0，最后0==0,所以成立。
var_dump('22root' == 22);
//true//分析：先将字符串22root转化成和0同等类型即数字型，因为字符串开始有合法数值，则取其连续的合法数值22，最后22==22，所以成立。
var_dump('22r22oot' == 22);
//true//分析：先将字符串22r22oot转化成和0同等类型即数字型，因为字符串开始有合法数值，则取其连续的合法数值22，r后面的22因为与开始的合法数值不连续，所以不取它的值，22==22，所以成立。
var_dump('root22' == 22);
//false//分析：先将字符串root22转化成和0同等类型即数字型，因为字符串开始没有合法数值，则字符串root22转换为0，最后0==22,所以不成立。
var_dump('root22' == 0);
//true//分析：先将字符串root22转化成和0同等类型即数字型，因为字符串开始没有合法数值，则字符串root22转换为0，最后0==0,所以成立。
var_dump('0e170' == '0e180');
//true//分析：因为字符串中含有e开头的值，那么php代码会将其整体看成科学记数法，最后0的170次方==0的180次方，即0==0,所以成立
var_dump(0 === 'root');
//false//分析：=== 在进行比较的时候，会先判断两边类型是否相等,这里数值和字符串类型明显不等，因此不成立
var_dump ("0e830400451993494058024219903391" == 0);
//true//分析：先将字符串0e830400451993494058024219903391转化成和0同等类型即数字型，因为字符串开始有合法数值，则字符串0e830400451993494058024219903391转换为0，最后0==0,所以成立。
var_dump ("0e830400451993494058024219903391" == "0e830400451993494058024219904444");
//true//分析：先将字符串0e830400451993494058024219903391与0e830400451993494058024219904444分别转化成数字型，因为两个字符串开始都有合法数值，则字符串0e830400451993494058024219903391转换为0，字符串0e830400451993494058024219904444转换为0，最后0==0,所以成立。
var_dump (0e830400451993494058024219903391 == 0e830400451993494058024219904444);
//true//分析：这不是字符串的比较了，这是数字型的比较，因为==两边的都是科学记数法0e（0的次方），最终0=0
?>

==绕过

PHP比较运算符 ==在进行比较的时候是弱类型比较，只需要比较两个值相等就行，不会比较类型

在PHP中，当字符串是以0e开头的，会被PHP识别成科学计数法，结果均为0，因此在比较两个以0e开头的字符串时，无论后面的字符串是什么，结果都是true。

有一些字符串虽然不同，但是经过MD5加密之后就可以变成相同的了

eg：a=QNKCDZO&b=s878926199a

===强比较绕过

先判断两边的字符串的类型是否相等，再比较。也就是即比较数值，还会比较类型。

在强比较里就不能使用科学计数法了，因为他还会比较类型。

要绕过此处的比较，需要向 md5() 函数中传入数组，md5() 函数中如果传入的不是字符串而是数组，不但md5()函数不会报错，结果还会返回null，在强比较里面null=null为 True 绕过。

所以我们就是要让两边都为null，就可以达到绕过的目的了。

web97

 用post的方式传入a和b，然后经过MD5加密之后要相等

利用MD5不会处理数组的特点，我们就可以让两边的类型都是数组，都为null

使用POST提交  a[]=1&b[]=2就可以绕过了

web98

变量覆盖

 

 

&是引用符号，意思是：不同的名字访问同一个变量内容。php的引用是在变量或者函数、对象等前面加上&符号，PHP 的引用允许你用两个变量来指向同一个内容

$_GET?$_GET=&$_POST:'flag';意思：如果存在get方式，就把post的地址传给get，相当于get,只不过要利用post传一下参数

highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__)意思：如果有通过GET方法传参'HTTP_FLAG=flag'，就highlight_file($flag)。否则highlight_file(__FILE__)

也就说&前面的是在有条件的时候实现的，如果没有条件或者条件不成立的时候，此时就会输出后面的内容。

第一句存在变量覆盖的效果，所以GET请求不管给什么东西都会被POST请求覆盖掉

直接GET型提交flag会被flag的COOKIE、SERVER覆盖，但最后需要POST型提交HTTP_FLAG=flag

web104

 sha1和MD5类似，我们同样可以利用数组进行绕过

但是我们这里要注意的是v1需要以post的形式提交，v2则是以get的形式提交

我们这里也可以找到加密之后是0e开头的，因为0e开头的会被当作0，即两边都是一样的，也就达到绕过的目的。

aaK1STfY ==>0e76658526655756207688271159624026011393

aaO8zKZF ==>0e89257456677279068558073954252716165668