PHP代码审计弱类型,[代码审计]php弱类型总结

最新推荐文章于 2024-04-09 10:50:34 发布
最新推荐文章于 2024-04-09 10:50:34 发布
阅读量258 收藏
点赞数
文章标签: PHP代码审计弱类型
本文探讨了PHP作为弱类型语言所引发的安全问题,包括比较运算符的行为、MD5绕过、JSON利用、array_search漏洞及strcmp漏洞。通过示例代码,展示了如何利用这些特性进行绕过验证,提醒开发者注意PHP中的潜在安全风险。
摘要由CSDN通过智能技术生成

0x01 前言

php是世界上最好的语言,所以php自身的安全问题也是web安全的一个方面。由于其自身弱类型语言的特性以及内置函数对于传入参数的松散处理,所以会带来很多的问题,这里将进行简要介绍。

弱类型语言对变量的数据类型没有限制,可以在人很适合将变量赋值给人以的其他类型变量,同时变量可以转换成任意其他类型的数据。

0x02 基础知识

php中有两种比较的符号 == 与 ===

=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较

== 在进行比较的时候,会先将字符串类型转化成相同,再比较

如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行

var_dump("admin"==0); //true

var_dump("1admin"==1); //true

var_dump("admin1"==1) //false

var_dump("admin1"==0) //true

var_dump("0e123456"=="0e4456789"); //true

?> //上述代码可自行测试

1 观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等

2 "1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却等于错误,也就是"admin1"被转化成了0,为什么呢??

3 "0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等

$test=1 + "10.5"; // $test=11.5(float)

$test=1+"-1.3e3"; //$test=-1299(float)

$test=1+"bob-1.3e3";//$test=1(int)

$test=1+"2admin";//$test=3(int)

$test=1+"admin2";//$test=1(int)

?>

所以就解释了"admin1"==1 =>False 的原因

0x03 比较常见的几个函数

3.1 md5绕过(Hash比较缺陷)

if (isset($_GET['Username']) && isset($_GET['password'])) {

$logined = true;

$Username = $_GET['Username'];

$password = $_GET['password'];

if (!ctype_alpha($Username)) {$logined = false;}

if (!is_numeric($password) ) {$logined = false;}

if (md5($Username) != md5($password)) {$logined = false;}

if ($logined){

echo "successful";

}else{

echo "login failed!";

}

}

?>

题目大意是要输入一个字符串和数字类型,并且他们的md5值相等,就可以成功执行下一步语句

介绍一批md5开头是0e的字符串 上文提到过,0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。md5(‘240610708‘) == md5(‘QNKCDZO‘)成功绕过!

举例:

QNKCDZO

0e830400451993494058024219903391

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

3.2 json绕过

if (isset($_POST['message'])) {

$message = json_decode($_POST['message']);

$key ="*********";

if ($message->key == $key) {

echo "flag";

}

else {

echo "fail";

}

}

else{

echo "~~~~";

}

?>

输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于 $key的值,但是$key的值我们不知道,但是可以利用0=="admin"这种形式绕过

最终payload message={"key":0}

3.3 array_search绕过

if(!is_array($_GET['test'])){exit();}

$test=$_GET['test'];

for($i=0;$i

if($test[$i]==="admin"){

echo "error";

exit();

}

$test[$i]=intval($test[$i]);

}

if(array_search("admin",$test)===0){

echo "flag";

}

else{

echo "false";

}

?>

上面是自己写的一个,先判断传入的是不是数组,然后循环遍历数组中的每个值,并且数组中的每个值不能和admin相等,并且将每个值转化为int类型,再判断传入的数组是否有admin,有则返回flag

payload test[]=0可以绕过

下面是官方手册对array_search的介绍

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle,$haystack必需,$strict可选 函数判断$haystack中的值是存在$needle,存在则返回该值的键值 第三个参数默认为false,如果设置为true则会进行严格过滤

$a=array(0,1);

var_dump(array_search("admin",$a)); // int(0) => 返回键值0

var_dump(array_seach("1admin",$a)); // int(1) ==>返回键值1

?>

array_search函数 类似于== 也就是$a=="admin" 当然是$a=0 当然如果第三个参数为true则就不能绕过

3.4 strcmp漏洞绕过 php -v <5.3

$password="***************"

if(isset($_POST['password'])){

if (strcmp($_POST['password'], $password) == 0) {

echo "Right!!!login success";n

exit();

} else {

echo "Wrong password..";

}

?>

strcmp是比较两个字符串,如果str10 如果两者相等 返回0

我们是不知道$password的值的,题目要求strcmp判断的接受的值和$password必需相等,strcmp传入的期望类型是字符串类型,如果传入的是个数组会怎么样呢

我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型,将发生错误,但是还是判断其相等

payload: password[]=xxx

3.5 switch绕过

$a="4admin";

switch ($a) {

case 1:

echo "fail1";

break;

case 2:

echo "fail2";

break;

case 3:

echo "fail3";

break;

case 4:

echo "sucess"; //结果输出success;

break;

default:

echo "failall";

break;

}

?>

这种原理和前面的类似,就不详细解释了

0x04 参考链接

kiss洲
关注
PHP代码审计基础:PHP类型
1匹黑马
12-09 453
文章目录变量类型操作之间的比较empty()与isset()函数MD5函数strcmpin_array()array_search()swich 变量类型 标准类型:布尔型、整型、浮点、字符 复杂类型:数组、对象 特殊类型:资源 操作之间的比较 字符串与数字 字符串与数组 数字与数组 数字+e+数字 以上几点都包含在下面的代码中了: <?php # 字符串与数字 var_dump(0=="admin"); # True var_dump(0=="1admin"); # False va
php代码审计——类型
m0re's blog
04-25 784
本文目录前言extract变量覆盖知识了解例题实战strcmp比较字符串知识了解例题实战urldecode二次编码绕过知识了解例题实战md5()函数知识了解例题实战数组返回NULL绕过知识了解例题实战类型整数大小比较绕过题中了解相关知识 前言 现在开始接触代码审计类型的题了,学长给我们讲过了bugku的一些题,然后我看了一些其他的社区的文章和博客,学习了简单的php代码审计,并在学习过后做几道相...
php类型比较,类型比较(PHP
weixin_39622760的博客
03-09 555
"=="类型转换的规则1.字符串和数字比较,字符串会转换为数字admin-->02.混合字符串转换为数字,看字符串的第一个1admin-->1 admin1-->03.字符串以xex开头(x表示数字),会被转换为科学计数法2e2=2*10^2=200 0e2=0e48=00e开头的字符串•QNKCDZO 0e830400451993494058024219...
【CTF】PHP漏洞(学习积累中)
SunJ3t的菠萝屋
10-21 3739
CTF中遇到的关于PHP类型
php代码审计题目总结
qq_45927819的博客
12-14 1726
<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page))//判断.
【基础篇】第12篇:PHP代码审计笔记--类型存在的安全问题1
08-03
#### 一、PHP类型特性及其安全问题 **1.1 类型语言特性** PHP是一种类型语言,这意味着开发者在声明变量时无需明确指定其数据类型PHP会根据变量赋值的情况自动进行类型转换。这种特性在提高编程效率的同时...
php代码审计入坑实践.pdf
07-30
总的来说,PHP代码审计是一个复杂但至关重要的过程,它涉及到理解代码逻辑、寻找潜在的安全风险,以及利用工具进行自动化辅助。这篇文章为初学者提供了一个实用的起点,通过实践操作来提升对代码审计的理解。然而,...
PHP代码审计文档.zip
11-02
第17课:PHP类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课:PHP代码审计之目录穿越及文件包含漏洞mp4 第12课:PHP代码...
PHP代码审计教学视频
01-28
PHP代码审计入门教学视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖、PHPSTROM使用等等)都有非常详细的介绍
PHP代码审计资料整理
03-04
PHP代码审计是软件开发过程中的一个重要环节,尤其是在后端开发领域。它涉及到对PHP源代码进行深入检查,以发现潜在的安全漏洞、性能瓶颈和其他质量问题。本资料整理将围绕PHP代码审计这一主题,涵盖PHP开发语言的...
php数组查找函数in_array()、array_search()、array_key_exists()使用实例
12-19
php在数组中查找指定值是否存在的方法有很多,记得很久以前我一直都是傻傻的用foreach循环来查找的,下面我主要分享一下用php内置的三个数组函数来查找指定值是否存在于数组中,这三个数组分别是 in_array(),array_search(),array_key_exists()。 首先分别介绍一下各自的定义与作用 in_array(value,array,type) 该函数的作用是在数组array中搜索指定的value值,type是可选参数,如果设置该参数为 true ,则检查搜索的数据与数组的值的类型是否相同,即恒等于。 示例:复制代码 代码如下:<?php$people = arra
PHP类型
hackzkaq的博客
12-17 4058
`搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具` 一、PHP类型简介 类型简单来说就是数据类型可以被忽视的语言,和强类型语言的强制数据类型定义不同,类型可以一个变量赋不同数据类型的值 php虽然属于语言,但是里面也有一些强语言类型相关的强制定义数据类型的方法 比如php里的 == 和 === 之间的区别 == 为松散比较 只比较值,不比较数据类型 而 === 为严格比较,不仅比较值也比较类型,可以看作是强语言的强制数据类型要相同 二、PHP类型影响 具体表现在比如像一些数据验证
CTF中的一些常见骚操作(可以没有,但不能不会)
kali_Ma的博客
07-19 2067
0X01:前言 近期刷了挺多的ctf题,总结了一些ctf中常见的骚姿势。 0X02:来啦来啦,骚姿势总结 一. 类型比较 ctf中见怪不怪了,经常已经知道题目要考察的是什么知识了,传参都要用个类型比较来为难一下我们。 ‘=’,‘’,‘=’ 一个等于是赋值,两个等于是将两个变量转相同的类型再比较,三个等于先比较变量类型是否相同再比较值。 非相同类型比较 如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行 先看几组比较结果: 当我们用字.
首届“钓鱼城”杯网络安全技能大赛Web&PWN
m0_61155226的博客
05-05 409
首届“钓鱼城”杯网络安全技能大赛WriteUP Web&PWN
攻防世界题目练习——Web难度1(1),含BATJM大厂
最新发布
2401_84138785的博客
04-09 355
foreach仅能用于遍历数组,每次循环中,当前单元的键值被赋给 $val,当前单元的键名也会在每次循环中被赋给变量 $key。参考博客:PHP: foreach - Manual因此我们可以读懂对"n"的要求: 是数组、数组有2个元素、且第一个元素是数组。 if里面的内容: 要求存在键值"DGGJ"; 后面foreach循环又说明遇到值为"DGGJ"的就退出; 这里看起来很矛盾,因此需要绕过其中一个条件。 参考博客的题解: CTF之旅WEB篇(8)–[xctf] 江苏工匠杯easyphp 指出函数可以绕过
CTF writeup 2_南邮网络攻防训练
热门推荐
Troy
10-28 146万+
地址地址WEB签到题这一定是最简单的 传送门:http://chinalover.sinaapp.com/web1/“key在哪里? ” 在源码里~md5 collision源码<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51
php电子邮箱表单,PHP电子邮件表单发送者名称而不是电子邮件?
weixin_36213934的博客
03-09 269
现在,我已经建立了一个PHP电子邮件表单,并且一切正常。但是,在测试时,我只得到了发件人的电子邮件地址作为名称。我想要的是发件人的姓名,例如:约翰·杜科目科目科目代替:科目科目科目下面是代码…有谁可以帮助我吗?谢谢。PHP:if(isset($_POST['email'])) {// EDIT THE 2 LINES BELOW AS REQUIRED$email_to = "ricky@rick...
ctf php数组问题,CTF中一些PHP问题小结(续)
weixin_30741979的博客
04-06 1161
md5绕过(hash比较缺陷)
isset()和empty()区别,及判断$_post['']时问题
wangyangyang787的博客
03-01 4141
isset()函数主要是判断检测变量是否设置,并且不是 NULL。      empty()函数主要判断是否为空值;判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。 <?php  var_dump(isset($m));    var_dump(empty($m));
PHP代码审计:代码执行漏洞深度剖析
总结来说,PHP代码审计对于确保应用程序的安全至关重要。了解和掌握代码执行的机制以及如何防范是每个PHP开发人员和安全专家的基本技能。通过深入理解这些概念,可以有效地减少潜在的安全风险,提高应用程序的健壮性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值