PHP使用数组整型溢出绕过赋值式“永真”判断以进入else子句

最新推荐文章于 2023-02-04 15:18:57 发布
最新推荐文章于 2023-02-04 15:18:57 发布
阅读量762 收藏 1
点赞数 2
文章标签: php 开发语言 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starttv/article/details/127905422
版权

PHP使用数组整型溢出绕过赋值式“永真”判断以进入else子句

遇到一个CTF题比较有意思,可以看到if判断语句中有个赋值式永真判断。
字面上看会永远执行if语句,怎么样才能使”永真失效“?

<?php
include "flag.php";
highlight_file(__FILE__);

if (isset($_GET['0'])){
    $arr[$_GET['0']]=1;
    if ($arr[]=1){
        die("nonono!");
    }
    else{
        die($flag);
    }
}
?>

先简单分析一下$arr[]=1这句代码,意思是往$arr数组中追加一个数

在这里插入图片描述

可以看到执行$arr[]=1之后,数组的最后多出来一个1。
什么是使用数组整型溢出绕过赋值式“永真”判断?
原理:

索引数组最大下标等于最大int数,对其追加会导致整型数溢出,进而引起追加失败

int范围查阅Manual可知:32位最大是231-1,64位是263-1
也就是2147483647与9223372036854775807
我们接着看,在达到数组的最大下标后,再往后面追加,是追加失败的。
在这里插入图片描述

在这里插入图片描述

我们便可以利用这一点绕过if进入else子句

Payload:

?0=9223372036854775807

在这里插入图片描述

Sn_u
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
PHP_数组溢出分析
Win_X_的博客
06-05 1381
文章目录PHP_数组溢出分析int变量测试数组测试明白了,以上全在瞎扯,直接看总结就好总结 PHP_数组溢出分析 前排提示,注意看目录 首先,在一个64位系统中,php里面int型变量所占内存大小为64位,其中最前面的一位为符号位,0表示正数,1表示负数 本文全程以64位系统中的php着手,从比特位的角度分析,为了便于表示,本文大部分将采用0x数,即16进制数表示,即 0x7FFFFFFFFFFFFFFF(16进制) == 9223372036854775807(10进制) == 0b0111111
『CTF Tricks』PHP-数组整型溢出
Ho1aAs‘s Blog
09-02 1359
利用: 使用数组整型溢出绕过赋值永真判断进入else子句 原理: 索引数组最大下标等于最大int数,对其追加会导致整型溢出,进而引起追加失败
php 数组溢出
海纳百川
05-31 972
php 数组溢出 题目 if($array[++$c]=1){ if($array[]=1){ echo "nonono"; } else{ require_once 'flag.php'; echo $flag; } } 解析 本题重点在此行: $array[]=1 此语句正常赋值时,返回结果一定是为 1 的,要想跳出这个判断语句,必须让它赋值出问题。 查阅资料后发现: 作为PHP最重要的数据类型HashTable其key值是有一定的范围的,如果设置的key值过大就会出现溢出的问
php整型溢出问题,整型数的溢出
weixin_31434215的博客
04-14 514
#include #include int main(){printf("INT_MAX+1=%d",INT_MAX+1);printf("INT_MAX+INT_MAX=%d",INT_MAX+INT_MAX);printf("INT_MIN=%d",INT_MIN);printf("INT_MIN⑴=%d",INT_MIN⑴);printf("INT_MIN+INT_MIN=%d",INT_M...
整数溢出与回绕
sinat_31608641的博客
05-31 3080
一什么是整数溢出 由于整数在内存里面保存在一个固定长度的空间内,它能存储的最大值和最小值是固定的,如果我们尝试去存储一个数,而这个数又大于这个固定的最大值时,就会导致整数溢出。(x86-32 的数据模型是 ILP32,即整数(Int)、长整数(Long)和指针(Pointer)都是 32 位。) ...
python的else子句使用指南
09-21
Python中的`else`子句是一个独特且强大的语法结构,它不仅限于常规的`if`语句,还可以与`for`和`while`循环以及`try/except`异常处理结合使用。这种用法使得代码更加简洁,逻辑更加清晰,提高了可读性。 1. **配合`...
PHP使用array_multisort对多个数组或多维数组进行排序
12-18
输入数组被当成一个表的列并以行来排序——这类似于 SQL 的 ORDER BY 子句的功能。第一个数组是要排序的主要数组数组中的行(值)比较为相同的话就按照下一个输入数组中相应值的大小来排序,依此类推。——这句话...
php通过数组实现多条件查询实现方法(字符串分割)
10-25
本篇文章将深入探讨如何使用数组来实现多条件查询,特别是通过字符串分割的方法。这种方法能够有效地处理由多个关键词组成的查询条件,例如从用户输入的搜索关键词中提取条件。 首先,我们来看一下给定的代码片段:...
PHP 多维数组排序实现代码
10-29
输入数组被当成一个表的列并以行来排序――这类似于 SQL 的 ORDER BY 子句的功能。 array_multisort() 函数的参数结构有些不同寻常,但是非常灵活。第一个参数必须是一个数组。接下来的每个参数可以是数组或者是...
请问你的数组今天溢出了吗?
love10_1314的博客
11-04 373
相信每一位编程的老司机刚学数组的时候都会有数组越界的经历,提起数组越界,那就不得不说“栈”了,下面先来介绍一下栈吧! 话不多说,先上图: 特别强调,栈的栈底地址大,栈顶的地址小,知道了这个东西,对于理解越界就简单多了。 当我们定义一个数组时,数组就是按序放入栈中的,如下图所示: 这就是将一个数组放入一个栈中 ,栈顶放地址小的,栈底放地址大的,以此类推 此时上述代码运行结果就是将i从0输出到9;...
php整形的最大溢出
m0_56059226的博客
07-16 294
if($array[++$c]=1){ ​ if($array[]=1) 因为两个if里面都是赋值语句,只要赋值成功就可以进入赋值失败则退出。此题既要满足 使$array[++$c]=1赋值成功,又要满足$array[c+1后的再后一位的数组]=1赋值失败,则想到整形溢出(即满足整形最大值加1后会报错): **PHP的32位版本:** - 整数可以从**-2,147,483,648**到**2,147,483,647**(~20亿) **PHP的64位版本:...
渗透测试-PHP反序列化及绕过
cdyunaq的博客
04-26 4432
最简单的反序列化 require_once('flag.php'); highlight_file(__FILE__); classA{ private$user='test'; function__destruct(){ ...
整数溢出
wuxiaobingandbob的专栏
11-20 5556
http://blog.csdn.net/habla/article/details/1834658 整数溢出也是一种常见的软件漏洞,由此引发的bug可能比格化字符串缺陷和缓冲区溢出缺陷更难于发现。前几天solaris系统中就爆出被人发现了一个整数溢出漏洞。在这里我们来翻译phrack杂志上的一篇关于整数溢出的文章,写得相当详细。平时时间不是很多,所以我不会一次把这篇文章全部翻译后才b
数组绕过php语言的特性
Bad_Monkey的博客
09-19 1654
php 判断相等有两个符号 == 只判断数值是否相等,不管变量类型是什么 === 要求数值,和类型都要相等 php是一门弱语言 比如 <?php $a=12345; $b='12345hahahaha';//这个字符串可以看成是整数12345,同样字符串'abcdef' 可以看成整数 0 $a==$b ; $a!===$b; 数组绕过 现在知道的有这么多,以后还可以补,不会的时候可...
CTFshow 菜狗杯 部分wp
最新发布
weixin_44770698的博客
02-04 2147
ctfshow 菜狗杯 web部分练习(暂时不全)
常见php函数绕过
huangyongkang666的博客
03-31 4156
PHP常见函数介绍 1. is_numeric() 函数 作用:检测变量是否为数字或数字字符串。 PHP 版本要求:PHP 4, PHP 5, PHP 7 is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后 绕过: ?what=1' ?what=1, ?what=1%00 2.isset函数 **作用:**检测变量是否设置 格:bool isset ( mixed var [, mixed var [, …]] ) 返回值: 若变量不存在则返
[2021 蓝帽杯] One Pointer PHP
qq_64201116的博客
09-01 735
吃不到反弹shell?为什么吃不到!!一套流程帮你吃到你的shell!!!
ctfshow菜狗杯wp
m0_62274649的博客
11-17 2413
菜狗杯wp
PHP基础知识:联想数组详解
"联想数组PHP编程中的一种特殊类型的数组,它允许使用字符串作为元素的索引,这种特性使得数组元素的标识更加直观和易读。联想数组也被称为关联数组,在PHP中,可以通过两种方来定义。一种是直接在数组声明...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值