php intval溢出,实验吧-你真的会PHP吗

最新推荐文章于 2024-01-19 11:02:04 发布
最新推荐文章于 2024-01-19 11:02:04 发布
阅读量291 收藏 1
点赞数
文章标签: php intval溢出

根据题目提示可以知道这是一道代码审计的题目,所以就找找源码放哪里的吧,最终在响应头中找到了。

0c3fe99258d3b53c47acf7d43a3d88e2.png

访问的到源码:

<?php $info = ""; $req = []; $flag="xxxxxxxxxx"; ini_set("display_error", false); error_reporting(0); if(!isset($_POST['number'])){ header("hint:6c525af4059b4fe7d8c33a.txt"); die("have a fun!!"); } foreach([$_POST] as $global_var) { foreach($global_var as $key => $value) { $value = trim($value); is_string($value) && $req[$key] = addslashes($value); } } function is_palindrome_number($number) { $number = strval($number); $i = 0; $j = strlen($number) - 1; while($i < $j) { if($number[$i] !== $number[$j]) { return false; } $i++; $j--; } return true; } if(is_numeric($_REQUEST['number'])){ $info="sorry, you cann't input a number!"; }elseif($req['number']!=strval(intval($req['number']))){ $info = "number must be equal to it's integer!! "; }else{ $value1 = intval($req["number"]); $value2 = intval(strrev($req["number"])); if($value1!=$value2){ $info="no, this is not a palindrome number!"; }else{ if(is_palindrome_number($req["number"])){ $info = "nice! {$value1} is a palindrome number!"; }else{ $info=$flag; } } } echo $info;

我们分段来看源码的功能:

foreach([$_POST] as $global_var) {

foreach($global_var as $key => $value) {

$value = trim($value);

is_string($value) && $req[$key] = addslashes($value);

}

}

上面这一段很明显就是需要post传送过来的数据是一个字符串,是字符串才会存放到$req数组中。

function is_palindrome_number($number) {

$number = strval($number);

$i = 0;

$j = strlen($number) - 1;

while($i < $j) {

if($number[$i] !== $number[$j]) {

return false;

}

$i++;

$j--;

}

return true;

}

该函数判断输入的数是否是一个回文数。

接下来的一段:

834a0ee7d9703933f633008a43d79bc4.png

我看writeup看到有两种解法:

利用intval溢出

intval最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例,在这样的系统上, intval(‘1000000000000’) 会返回 2147483647。64 位系统上,最大带符号的 integer 值是 9223372036854775807。

通过上面我们知道服务器的操作系统是32位的,所以我们构造2147483647就可以同时满足2,3条件。通过把空字符可以绕过is_numeric的判断(如%00,%20),所以我们构造以下poc,number=2147483647%00 和number=2147483647%20都可。

我们来看上面的payload是怎么绕过上面的条件的,首先因为我们post的number中包含%00或者%20这样的空字符,所以在is_numeric判断时,会返回false,接下来

$req['number']!=strval(intval($req['number']))

intval会忽略掉我们的空字符%00与%20,所以这里也就绕过了,然后:

$value1 = intval($req["number"]);

$value2 = intval(strrev($req["number"]));

这两个值要相等,由于我们输入的number已经达到了intval的最大值,所以当执行strrev后,得到7463847412这个值,这个值经过intval转换为2147483647,所以这两个值相等了。

但是2147483647又不是回文数,所以得到flag。

注:strval会忽略掉%00与%20

注:如果你输入number=’1’这样的字符,后台存储的字符串时’\’1\”,意思就是会把引号作为你输入的字符串的一部分。这是个很奇怪的特性,大家可以测试一下

注:其中很多细节,我是通过把源码拷贝到本地执行得到的结果,大家也可以测试一下自己的想法。

0x02科学记数法绕过

因为要求不能为回文数,但又要满足intval(req["number"])=intval(strrev(r

e

q

[

"

n

u

m

b

e

r

"

]

)

=

i

n

t

v

a

l

(

s

t

r

r

e

v

(req[“number”])),所以我们采用科学计数法构造poc为number=0e-0%00,这样的话我们就可以绕过。

一定要时-0,才不会被判定为回文数

不得不说脑洞是真的大

积硅步,致千里

Rita201907
关注
实验吧——WEB-简单的登录题、后台登录、加了料的报错注入、你真的PHP吗?
迷风小白
03-29 2830
一. 简单的登录题 这道题确实一点都不简单 二、后台登录 这道题打开就是一个登录框,输入一个1,提示密码错误,查看源代码。 <!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $r...
PHP弱类型
hackzkaq的博客
12-17 4058
`搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具` 一、PHP弱类型简介 弱类型简单来说就是数据类型可以被忽视的语言,和强类型语言的强制数据类型定义不同,弱类型可以一个变量赋不同数据类型的值 php虽然属于弱语言,但是里面也有一些强语言类型相关的强制定义数据类型的方法 比如php里的 == 和 === 之间的区别 == 为松散比较 只比较值,不比较数据类型 而 === 为严格比较,不仅比较值也比较类型,可以看作是强语言的强制数据类型要相同 二、PHP弱类型影响 具体表现在比如像一些数据验证
php关于数字防注入,intval溢出,intval
u010412301的博客
02-13 4754
php关于数字防注入,intval溢出,intval 不同位数的操作系统表现的最大值不同 数字防注入方法 1.强制转换类型,intval(num),(int)num(mum小于等于2147483647), 2.num=num+0 这样php自动给你转换 $n="n"; $a=2147483648.05555; echo intval($
php float 溢出,phpintval函数溢出的解决办法
weixin_36096137的博客
03-09 534
关于使用intval强制转换成数字的问题。数字大于2147483647出现溢出出现负数。使用个方法来替代这个吧$n="\n";$a=2147483648.05555;echo intval($a).$n; //result -2147483648echo (int) $a,$n;//result -2147483648echo floatval($a).$n;//result 214748...
php 数字 intval 超出,踩一坑,采一金之php数据类型那点“破”事
weixin_33735910的博客
03-18 282
输出是979569409 echo ip2long('58.99.011.1'),""; //输出是979568897 echo ip2long('058.99.11.1'),""; //输出是空 看上面看似“一样”的IP地址,输出的结果“竟然”不一样。于是那个帖子得出结论:在 PHP 4.x,5.x 中 , 有前导零的 ip 转换的结果都不正确。这货真的懂编程语言,真的懂数据类型么...
phpintval()和(int)转换使用与区别
weixin_30892037的博客
08-18 160
没啥区别,一般用(int),另外还有 float, string, array 等intval()而言,如果参数是字符串,则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值。如果字符串第一个是‘-',则从第二个开始算起。如果参数是符点数,则返回他取整之后的值。 例:intval("A")=0; intval(12.3223)=12; intval("1123Asdfka3...
php 数字 intval 超出,php 格式化数字的时候注意数字的范围
weixin_42106299的博客
03-18 210
php 格式化数字的时候注意数字的范围发布于 2014-11-25 14:38:52 | 94 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为p...
php数据入库前清理 注意php intval与mysql的int取值范围不同
10-28
因为PHP的`intval`函数和MySQL的整型字段的取值范围存在差异,因此在将PHP变量存入MySQL整型字段之前,我们必须仔细考虑这一点,以避免数据溢出或错误。例如,如果一个在PHP中经过`intval`处理的值超出了MySQL整型...
php-leetcode题解之整数反转.zip
最新发布
06-13
return intval($revStr); } ``` 2. 位运算:利用位移和按位异或操作来实现反转。这种方法更高效,时间复杂度为O(1),但需要对位运算有深入理解。首先,通过位移将数字的最高位移动到最低位,然后不断与原数进行...
PHP工程师面试笔试真题(某知名监控产品服务商)-附解析.doc
11-25
13. 语句`echo intval((0.7+0.1)*10)`的打印结果为18,因为浮点数计算有精度问题,0.7+0.1在PHP内部可能不是精确的0.8,导致乘以10后结果小于预期的9。 14. 在PHP运算符中,优先级从高到低分别是:乘除(*/)、加...
php 强制整形,关于php 32位系统中长整型的强制转化溢出的详细介绍
weixin_27037521的博客
03-10 283
CleverCode最近遇到一个PHP项目整形转化问题,mysql有一个字段id是bigint的,里面有长整型,如id = 5147486396。但是php代码由于历史原因却部署在多台机器中,其中A机器32位系统中,B机器64系统中。现在的问题是64系统中页面访问正常。32位系统中访问出错了。原因是php整形溢出。1 A机器演示1.1 获取A机器系统位数# getconf LONG_BIT1.2 ...
php intval 最大值
大脸猫脸大
01-22 2373
不能对手机号 intval()
PHP解决intval函数转换超出范围导致不正确
weixin_43006837的博客
01-19 456
PHP 中,intval 函数将字符串转换为整数。然而,如果转换的结果超出了整数的表示范围,可能导致不正确的结果,因为整数溢出导致值被截断为一个有效的整数。
php 设置intval最大值,PHP基础入门
weixin_33603377的博客
03-26 484
大概是参加工作后的一个月吧开始学习PHP,最初只是草草地翻阅了一下手册,然后跟着后端的同学熟悉PHP框架开发,在ThinkPHP语法糖的诱惑下,一直没有深入PHP的基础知识(与其说是深入,不如说是了解)。PHP的函数十分繁杂,命名也比较混乱,然而项目中常规使用的函数:比如打印,判断,字符串,数组等函数和方法,应当是优先需要掌握的,因此重新整理有道云上面的笔记,进一步学习PHP。之后的目标是用PHP...
PHP长整型在32位系统中强制转化溢出
CleverCode的博客
06-09 9604
CleverCode最近遇到一个PHP项目整形转化问题,mysql有一个字段id是bigint的,里面有长整型,如id =5147486396。但是php代码由于历史原因却部署在多台机器中,其中A机器32位系统中,B机器64系统中。现在的问题是64系统中页面访问正常。32位系统中访问出错了。原因是php整形溢出。 1 A机器演示 1.1 获取A机器系统位...
ISCC 2019 Web 2
qq_42777804的博客
05-24 753
源码如下 <?php error_reporting(0); require'flag.php'; $value=$_GET['value']; $password=$_GET['password']; $username=''; for($i=0;$i<count($value);++$i){ if($value[$i]>32&a...
intval()和(int)转换使用与区别
weixin_30418341的博客
12-09 482
<?php echo "<br/>数值强制转换:"; $string="2a"; $string1=intval($string); echo '$string1的值:'.$string1.'$string2的值:';//单引号不输出变量,将原样输出 $string2=(int)($string); echo $string2 ?&gt...
PHPintval()等int转换时的意外异常情况解析
gayayzy的专栏
09-21 3185
先看看下面的网上的一个测试代码: <?php $a = 9.45*100; var_dump($a); var_dump(intval($a)); $a = 945*1.00; var_dump($a); var_dump(intval($a)); ?> 运行结果:float(945) int(944) float(945) int(945) 这个代码虽然把结果都告诉了,但是很
PHP字符串转整数:intval() vs 强制转换 vs sprintf性能对比
`intval()`可以处理非数字字符串,但非数字部分被忽略,返回数字部分。对于数组和对象,虽然手册警告不能转换,但实际测试中,数组返回1,而对象抛出错误并返回1。 3. 格式化字符串`sprintf()`方式 虽然`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值