PHP字符串offset取值特性

最新推荐文章于 2021-03-24 21:44:49 发布
最新推荐文章于 2021-03-24 21:44:49 发布
阅读量130 收藏
点赞数
文章标签: php
原文链接:https://yq.aliyun.com/articles/616759
版权

  在PHP的代码基础上,PHP字符串offset取值特性,可以拿来利用,给PHP应用程序带来安全风险。

  在PHP中,可以像操作数组一样操作字符串,字符串中的字符可以用类似数组结构中的方括号包含对应的数字索引的形式来进行查找和修改,例如 $test[0]。当然 字符串中字符的排列也是从零开始的。如果需要操作的字符多余一个的话,就考虑使用函数 substr()和 substr_replace()吧。

代码示例一:

<?php
$test = "Hello World";
echo $test[0];    //输出H
echo "<br/>";
echo $test[1];    //输出e
?>

  Tips:$test[0] 方括号中的数字超出范围将会产生空白。 非整数类型被转换成整数,非法类型会产生一个 E_NOTICE级别错误, 负数在写入时会产生一个E_NOTICE,但读取的是空字符串。

代码示例二:

<?php
$test = "Hello World";
echo $test[0];    //输出H
echo "<br/>";
echo $test['id']; //输出H
?>

  可以看出,$test[0]等价于$test['id']

  代码片段可以看出,对于$test['id']这种形式的字符串,在offset取值时键值会被转换为整形,也就是等同于$test[0]这种形式。

漏洞场景:

  在某平台曾经遇到某道代码审计的题目,大致还原代码如下:

示例代码:

<?php
ini_set("display_errors", "On");
error_reporting(0);
foreach (array('_COOKIE','_POST','_GET') as $_request)  
{
    foreach ($$_request as $_key=>$_value)  
    {
        $$_key=  $_value;
    }
}
//$userinfo=333333
$userinfo["username"] = $username; //==> $userinfo[0]=a 赋值以后 $userinfo=a33333
$userinfo["password"] = $password; //==> $userinfo[0]=1 赋值以后 $userinfo=133333
$_SESSION["userinfo"] = $userinfo;

var_dump($_SESSION);
echo "<br/>";
$userinfo=$_SESSION["userinfo"];   //输出 array(1) { ["userinfo"]=> string(6) "133333" }
if($userinfo["id"] == 1) {
    echo "flag{xxx}";
    die();
}
?>

漏洞分析:

  只有当$userinfo["id"] == 1时,才能得到flag,$userinfo由$_SESSION["userinfo"]赋值而来,$_SESSION["userinfo"]又由$userinfo赋值,只要通过变量覆盖将$userinfo覆盖为值1xxxx即可,具体参数流程详见示例代码。原题还有其他条件,只能覆盖$_SESSION来解题。上面自己还原的代码还可以用变量覆盖直接解题。

<?php
//?userinfo[id]=1
ini_set("display_errors", "On");
error_reporting(0);
foreach (array('_COOKIE','_POST','_GET') as $_request)  
{
    foreach ($$_request as $_key=>$_value)  
    {
        $$_key=  $_value;
    }
}

var_dump($_GET);  //array(1) { ["userinfo"]=> array(1) { ["id"]=> string(1) "1" } }
echo "<br/>";

if($userinfo["id"] == 1) {
    echo "flag{xxx}";
    die();
}
?>

 

参考文档:

https://github.com/80vul/webzine/blob/master/webzine_0x06/PSTZine_0x06_0x03.txt

weixin_34245169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【基础篇】第13篇:PHP代码审计笔记--字符串offset取值特性1
08-03
漏洞场景:在某平台曾经遇到某道代码审计的题目,大致还原代码如下:示例代码://输出H//输出e//输出H//输出H漏洞分析:$SESSION["userinfo
Z-BlogPHP 安装出现 (8) Undefined offset: 6 解决方法
weixin_34113237的博客
02-16 243
有些cp面板的空间会在每个网页头部和页脚增加两个调用的文件,导致zblogPHP安装出错:(8) Undefined offset: 6 主要国外的主机中PHP配置文件两个选项auto_prepend_file和auto_append_file出了问题,他们默认绑定了【/usr/lib/php/head.php】、【/usr/lib/php/footer.php】这两个文件,这一点我们可以...
PHP分页的limit与offset
思维小刀
07-04 946
①SELECT * from `order` limit 2,1; ②SELECT * from `order` limit 2 offset 1; 1.起始索引从0开始的 2.limit X,Y 中X表示跳过X个数据,读取Y个数据 3.offset X是跳过X个数据,limit Y是选取Y个数据 ①是从数据库中第三条开始查询,取一条数据,即第三条数据读取,一二条跳过(跳过2条 开始...
phpoffset函数,thinkphp中的offset是不是必须和length同时使用
weixin_29172963的博客
03-24 348
素胚勾勒不出你加了offset不加length的话系统会自动取数组中元素的个数来补全,但是不加offset却加了length则会报错。下面大概说一下这里thinkphp是如何实现的:thinkphp这里是用的数组截取,也就是array_slice函数,12arrayarray_slice(array$array,int$offset[,int$length[,bool$p...
php 字符串偏移量,注意:PHP中未初始化的字符串偏移量
weixin_35519827的博客
03-23 359
标签:php嗨,我有这个功能,它返回一个通知:注意:未初始化的字符串偏移量function generaterandomkey($length) {$string='';$characters = "0123456789abcdef";for ($p = 0; $p < $length ; $p++) {$string .= $characters[mt_rand(0, strlen($ch...
Java遍历json字符串取值的实例
10-18
下面小编就为大家分享一篇Java遍历json字符串取值的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php 字符串压缩方法比较示例
12-18
php 提供的字符串压缩方法有 1.gzcompress — Compress a string This function compress the given string using the ZLIB data format. 2.gzencode — Create a gzip compressed string This function returns a ...
PHP实现字符串的全排列详解
01-02
输入一个字符串,按字典序打印出该字符串中字符的所有排列。 例如,输入字符串abc,则打印出由字符a,b,c所能排列出来的所有字符串abc,acb,bac,bca,cab和cba。 思路: 1.利用递归形成递归树,达到深度优先,固定首字母的...
php 根据array 创建set,PHP ArrayObject offsetSet()用法及代码示例
weixin_42139460的博客
03-17 283
PHP中ArrayObject类的offsetSet()函数用于更新ArrayObject中特定索引处的值。用法:void offsetSet($index, $val)参数:此函数接受两个参数$index和$val。此函数使用$val更新索引$index上的值。Return Value:此函数不返回任何值。以下示例程序旨在说明上述功能:程序1::// PHP program to illustr...
php中字符offset特征造成的绕过漏洞详解
12-20
php中的字符offset特性 php中的字符串存在一个非常有趣的特性,php中的字符串也可以像数组一样进行取值。 $test = "hello world"; echo $test[0]; 最后的结果就是h。 但是上述的这种特性有时会有意想不到的效果,看下面这段代码 $mystr = "hello world"; echo $mystr["pass"]; 上述的代码的输出结果是h.这是为什么呢?其实很简单,和很多其他的语言一样,字符串php中也像数组一样可以使用下标取值。$mystr["pass"]中pass会被进行隐性类型转换为0,这样$mystr[0]的输出结果就是首字母h. 同
php落手点,关于我遇到的phpoffset 的一点的总结
weixin_32139249的博客
03-19 161
从上面可以看出,$arr[3]其实是不存在的,所以运行后出现了一条警告:Notice: Undefined offset: 3 in D:\wamp\apache\htdocs\test……Undefined offset,说明$arr[3],不存在,其超过了你所设置的数组长度。再来看一段代码:"."亚里士多德||希腊||没有一个人能全面把握真理。"."达·芬奇||意大利||运动是一切生命的源泉。...
phpoffset函数,【函数分享】PHP函数substr_count分享
weixin_32736961的博客
03-10 262
每日分享PHP知识点,大家都赞同关注是一种动力,分享是一种美德,再说了关注分享一下又不会怀孕?只要你开心就好......substr_count () 计算字串出现的次数。int substr_count(string$haystack,string$needle[,int$offset=[,int$length]])说明:substr_count() 返回子字符串needle 在字符串 hays...
php数组出现offset,PHP数组提示Notice:Undefinedoffset解决办法 - 米扑博客
weixin_30407555的博客
03-16 4204
在使用数组时经常会碰到数组不存在了,导致我们珍array[100]这样时出现Notice: Undefined offset错误,下面我来给大家介绍如何解决这种问题例如:$array[1] = 'money.mimvp.com';$array[2] = 'proxy.mimvp.com';$array[3] = 'blog.mimvp.com';echo $array[0] ;输入结果是Notic...
phpoffset函数,jquery offset函数应用实例_jquery
weixin_30069113的博客
03-10 226
我们有时候需要实现这样一种功能:点击一个按钮,然后在按钮的下方显示一个div。当按钮位于角落时,div的位置设定就需要调整,不然,div将显示不完全。我打算使用offset()方法实现此功能,但要先弄清楚他的功能。offset()的top是指元素与document的上边的距离,而不是浏览器当前窗体的上边缘,如图1。图1:document高度超过window,浏览器出现滚动条,滚动滚动条,提交按钮的...
关于Java String 的 offset 问题。
ws12100376的专栏
04-12 691
今天写了一段代码,大致如下文所示, [code="java"] Pattern pattern = Pattern.compile(regex); Matcher matcher = pattern.match(content);//注意这里的content变量 while (matcher.find()) { String outlink = matcher.grou...
undefined offset php,PHP 中list()出现Undefined offset: 0错误
weixin_30533943的博客
03-10 979
PHP中,list()主要用于在一次操作中,给一组变量赋值比如:$my_array = array('Dog','Cat','Horse');list($a, $b, $c) = $my_array;echo 'I have several animals, a '.$a.', a '.$b.' and a '.$c;?>正常输出,结果如下I have several animals,a ...
php 根据array 创建set,PHP ArrayIterator offsetSet()用法及代码示例
weixin_33074843的博客
03-24 89
ArrayIterator::offsetSet()函数是PHP中的内置函数,用于设置偏移量的值。用法:void ArrayIterator::offsetSet( mixed $index, mixed $newval )参数:该函数接受上述和以下描述的两个参数:$index:此参数保存用于设置偏移量的索引。$newval:此参数保存要存储在给定索引处的新值。返回值:该函数不返回任何值。以下示例...
字符串如何取值
最新发布
05-30
在很多编程语言中,字符串是一种基本...此外,还可以使用字符串的其他方法和函数来获取字符串的值,例如在C语言中可以使用strcpy函数将一个字符串的值赋给另一个字符串变量,或者使用strlen函数获取字符串的长度等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值