ctf的php,CTF中常见的PHP知识点

最新推荐文章于 2024-03-04 23:58:26 发布
最新推荐文章于 2024-03-04 23:58:26 发布
阅读量1.3k 收藏 9
点赞数 1
文章标签: ctf的php

PHP是一门比较松散的语言,既方便,又容易出现一些问题。本文主要概括一些常见的PHP弱类型,正则表达式函数跟变量覆盖的内容,在CTF这方面也经常出现在代码审计相关的题目中。

一、弱类型

0x01 "=="与"==="的区别

在使用"=="时会自动转换类型,而"==="则是校验类型,而非转换。

1 == '1'; //true

1 == '1abcdef'; //true

0 == 'abcdefg'; //true

0 === 'abcdefg'; //false

0x02 Hash比较

使用"=="时,如果字符串满足0e\d+,解析为科学计数法,否则视为正常字符串。

"0e132456789" == "0e7124511451155" //true

"0e123456abc" == "0e1dddada" //false

"0e1abc"=="0" //true

md5('240610708') == md5('QNKCDZO') //true

0e开头的md5:

QNKCDZO

0e830400451993494058024219903391

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

0x03 传入数组返回null系列

md5()是不能处理数组的,md5(数组)会返回null,同理的有sha1(),strlen(),eregx()。

$array1[] = array(

"foo" => "bar",

"bar" => "foo",

);

$array2 = array("foo", "bar", "hello", "world");

var_dump(md5($array1)==var_dump($array2)); //true

0x04 十六进制转换

使用"=="时,PHP会将十六进制转换为十进制然后再进行比较

"0x1e240"=="123456" //true

"0x1e240"==123456 //true

"0x1e240"=="1e240" //false

0x05 intval()函数

intval()函数会将从字符串的开始进行转换直到遇到一个非数字的字符。

如果出现无法转换的字符串,intval()不会报错而是返回0。

if(intval($a)>1000) {

mysql_query("select * from news where id=".$a)

}

这个时候$a的值有可能是1002 union…..

0x6 strcmp()函数

strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算。

在PHP5.3版本之后使用这个函数比较array跟sring会返回0。

$array=[1,2,3];

var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

0x07 switch()函数

如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。

$i ="2abc";

switch ($i) {

case 0:

case 1:

case 2:

echo "i is less than 3 but not negative";

break;

case 3:

echo "i is 3";

}

0x08 in_array(),array_search()函数

bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ),

如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。

当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];

var_dump(in_array('abc', $array)); //true

var_dump(in_array('1bc', $array)); //true

0x09 is_numeric()函数

当有两个is_numeric判断并用and连接时,and后面的is_numeric可以绕过.

"="优先级比and高。

$a=$_GET['a'];

$b=$_GET['b'];

$c=is_numeric($a) and is_numeric($b);

var_dump(is_numeric($a));

var_dump(is_numeric($b));

var_dump($c); //$b可以不是数字,同样返回true

$test=true and false;

var_dump($test); //返回true

?>

16进制也可以绕过is_numeric()检验,可以用来绕过sql注入里的过滤.

$a = is_numeric ( $_GET ['a'] ) ? $_GET ['a'] : 0;

$con = mysql_connect ( 'localhost', 'root', 'root' );

mysql_select_db ( 'test' );

$sql = 'insert into a values(' . $a . ',"a")';

mysql_query ( $sql );

?>

test.php?a=0x31206f7220313d31时,数据库中成功插入值

0x10 json绕过

输入一个json类型的字符串,json_decode函数解密成一个数组,

判断数组中key的值是否等于 $key的值,但是$key的值我们不知道,

但是可以利用0=="admin"这种形式绕过

最终payload message={"key":0}

if (isset($_POST['message'])) {

$message = json_decode($_POST['message']);

$key ="*********";

if ($message->key == $key) {

echo "flag";

}

else {

echo "fail";

}

}

else{

echo "~~~~";

}

?>

二、正则表达式

0x01 eregi()函数

1. 字符串对比解析,当ereg读取字符串string时,%00后面的字符串不会不会被解析。

#这里 a=abcd%001234,可以绕过

if (ereg ("^[a-zA-Z]+$", $_GET['a']) === FALSE) {

echo 'You password must be alphabet';

}

?>

2. 如果传入数组,ereg返回NULL

0x02 preg_match函数

如果在进行正则表达式匹配的时候,没有限制字符串的开始和结束(^ 和 $),则可以存在绕过的问题.

$ip = '1.1.1.1 abcd'; // 可以绕过

if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {

die('error');

} else {

// echo('key...')

}

0x03 preg_replace函数

preg_replace() 的第一个参数如果存在 /e 模式修饰符,则允许代码执行。

如果没有 /e 修饰符,可以尝试 %00 截断。

preg_replace("/test/e",$_GET["nac"],"jutst test");

?>

?nac=phpinfo() #可以被执行

三、变量覆盖

0x01 extract()函数

extract() 函数从数组中把变量导入到当前的符号表中。

对于数组中的每个元素,键名用于变量名,键值用于变量值。

$auth = '0';

// 这里可以覆盖$auth的变量值

extract($_GET);

if($auth == 1){

echo "private!";

} else{

echo "public!";

}

?>

0x02 parse_str()函数

parse_str() 的作用是解析字符串,并注册成变量.

与 parse_str() 类似的函数还有 mb_parse_str(),parse_str() 将字符串解析成多个变量,

如果参数 str 是 URL 传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域.

//var.php?var=new

$var='init';

parse_str($_SERVER['QUERY_STRING']);

// $var 会变成 new

echo $var;

0x03 $$的使用

如果把变量本身的 key 也当变量,也就是使用了 $$,就可能存在问题。

// http://127.0.0.1/index.php?_CONFIG=123

$_CONFIG['extraSecure'] = true;

foreach(array('_GET','_POST') as $method) {

foreach($$method as $key=>$value) {

// $key == _CONFIG

// $$key == $_CONFIG

// 这个函数会把 $_CONFIG 变量销毁

unset($$key);

}

}

if ($_CONFIG['extraSecure'] == false) {

echo 'flag {****}';

}

0x04 unset()

unset($bar); 用来销毁指定的变量,如果变量 $bar 包含在请求参数中,

可能出现销毁一些变量而实现程序逻辑绕过。

张博士-体态康复
关注
[ctf零基础入门]php基础
小飒的博客
08-28 1190
本文难度简单,适合0基础 工具:hackbar或burp ,PHPstudy Php基本语法: https://www.w3school.com.cn/php/php_syntax.asp 先快速自学 弱类型 如果一个字符串为 “合法数字+e+合法数字”类型,将会解释为科学计数法的浮点数 如果一个字符串为 “合法数字+ 不可解释为合法数字的字符串”类型,将会被转换为该合法数字的值,后面的字符串将会被丢弃 如果一个字符串为“不可解释为合法数字的字符串+任意”类型,则被转换为0! 1 <?php 2 va
CTF部分基础知识二之PHP(十四)】
最新发布
lianafany的博客
08-18 748
数组(array)就是一组数据的集合,它把一系列数据有序组织起来,形成一个可操作的整体,其每个变量都称为一个元素。数组元素间使用特殊的标识符来区分,这个标识符称为键,也称为下标。因此,数组的每个实体都包含两项——键(key)和值(value),通过键值可获取相应的数组元素。总而言之,如果说变量是存储单个值的容器,那么数组就是存储多个值的容器。PHP支持两种数组:数字索引数组(indexed array)和关联数组(associative array)。1. 数字索引数组。
CTFPHP基础学习篇(一)
热门推荐
ioik~hk的博客
03-20 1万+
CTFPHP基础。 文章目录 前言 一、PHP是什么? 二、配置PHP环境 三、PHP基础语法介绍 前言 估摸着不少学计算机的同学以及其他专业的小部分同学都对于信息安全感兴趣吧!那对于参加这相关的比赛就应该更有兴趣了。那么我们首先就了解一下下这相关的比赛——CTF(Capture The Flag)。
ctf常见php函数
m0_55754984的博客
09-24 420
empty()函数 empty() 函数用于检查一个变量是否为空。 empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。 strpos() 函数 strpos() 函数查找字符串在另一字符串第一次出现的位置。 语法:strpos(string,find,start) substr() 函数 substr() 函数返回字符串的一部分。 语法:substr(string,s.
CTFPHP
SingWeek
07-26 2688
CTFPHPPHP环境及基础变量PHP漏洞函数1、sha1 和 md5 函数2、ereg()函数漏洞:00截断2、变量本身的key4、extract()变量覆盖5、strcmp()漏洞6、is_numeric()函数7、preg_match函数漏洞8、parse_str函数漏洞9、字符串比较10、unset()函数漏洞11、intval()函数漏洞12、switch()函数13、in_array()函数14、serialize() 和 unserialize()函数漏洞 PHP环境及基础 使用phpstu
php 写入文件 ctf,[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)
weixin_42305622的博客
03-10 1021
原作者:admin[原理]文件包含读源码、x-forwarded-forpreg_replace 函数执行一个正则表达式的搜索和替换,preg_replce正则表达式部分包含e参数的时候,进行替换的部分会被执行。[目的]掌握正则表达式、伪协议读取源码[环境]windows[工具]firefox、burp[步骤]1.进入云平台设备维护心页面,利用PHP伪协议读取源码。2.将得到的源码进行base6...
ctf php侧漏,ctf常见PHP漏洞小结
weixin_39588252的博客
04-01 1452
ctf常见PHP漏洞小结在做ctf题的时候经常会遇到一些PHP代码审计的题目,这里将我遇到过的常见漏洞做一个小结。md5()漏洞PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。常见的payload有QNKCDZO24061070...
CTF常见的编码和加密总结
09-07
CTF 的编码和加密总结 CTF 的编码和加密是最常见的一类题,这篇文章总结了一些常见的编码和加密方法,希望能够给...CTF 的编码和加密是非常重要的一部分,了解这些知识点可以帮助我们更好地应对 CTF 的挑战。
CTF-PHP特性知识点总结
zji
07-16 792
系列文章目录 提示:来自CTFshow题目 文章目录系列文章目录来自ctfshow的所有题目总结一、intval()函数二、多行匹配3.== 弱类型与路径问题4.md5()5.三目运算符的理解+变量覆盖6. in_array()函数7.is_numeric()函数优先级 前置需要学习参考 php=与区别 来自ctfshow的所有题目总结 一、intval()函数 例子1 例子1 if(preg_match("/[0-9]/", $num)){ die("no no no!");
Hackzone-tunisia-CTF:网站 CTF php + mysql + bootstrap
06-02
CTF挑战,可能涉及的PHP知识点包括但不限于: 1. 输入验证:选手可能需要查找并修复不安全的用户输入处理,如SQL注入,通过使用预处理语句或过滤函数来防止攻击。 2. 文件包含漏洞:检查是否存在可能导致恶意...
CTF知识总结,写的不错
10-29
以上内容是CTF竞赛常见的技术点,掌握这些知识将有助于解决各种类型的网络安全问题。在实际的CTF比赛,参赛者需要综合运用这些技巧,结合实际场景进行攻防对抗。同时,随着技术的发展,新的漏洞和防御策略不断...
CTF-PHP常见考点实例小结
weixin_44053218的博客
11-18 416
CTF-PHP常见考点实例小结 0x00 CTF-PHP常见考点 1.php弱类型的比较 2.php断言问题 3.php读取文件问题 4.updatexml(),__wakeup ,preg_match等函数考点 5.sha1()函数与md5()知识点 6.异或注入绕过考点 7.源文件泄露 8.extract变量覆盖 9.strcmp漏洞… 10.RCE的命令执行绕过考点 总结的不是很全面,一些常见的考点,希望师傅们多多指点 看到网上不少师傅的总结,感觉不错值得学习。 下面取几个考点类型案例分析帮助理解,实
CTFphp相关考点
meteox的博客
08-07 2437
以前在做CTF题的时候总是会遇到一些用php的trick才能过的题,知识点还是很杂的,主要是php这种动态弱类型语言实在是太灵活,各种奇葩写法也多,把之前的知识总结下。 学长的博客有对php黑魔法进行了一些总结,我在此基础上进行拓展 https://skysec.top/2017/07/22/PHP%E5%87%BD%E6%95%B0%E9%BB%91%E9%AD%94%E6%B3%95%E5%B0%8F%E6%80%BB%E7%BB%93/#%E9%BB%91%E9%AD%94%E6%B3%95%E5%A
php黑魔法【CTFphp总结】
大方子
08-24 1万+
前言 php的很多特性再带来编程方面的同时也会带来很多安全隐患,其一些漏洞在CTF经常出现,本文大部分示例也是取自CTF题目。这里首先说一下==和===区别。==是比较运算,它不会去检查条件式的表达式的类型,===是恒等,它会检查查表达式的值与类型是否相等,NULL,0,”0″,array()使用==和false比较时,都是会返回true的,而使用===却不会。 注:本文部分内容及代码并非原...
CTF---web入门---php
Bad_Monkey的博客
09-19 872
不显示错误 @$a=trim(file_get_contents($b));//@表示 如果脚本这句话出现的错误,不会将错误输出来 ini_set("display_errors", 0);//更改php.ini配置,错误不会显示 例如: test.php代码如下 ini_set('display_errors', 0); include('hi.php'); 此时,如果 test.php有错...
关于 CTF php 考点与绕过那些事的总结
Welcome To Myon'Blog !
03-04 3091
_POST //获取post数据,是一个字典$_GET //获取get数据,是一个字典$_COOKIE //获取cookie数据$_SESSION //获取session数据$_FILES //获取上传的文件$_REQUEST //获取$_GET, $_POST, $_COOKIE的数据$_SERVER //用户和服务器的基本信息数据库$_ENV //环境数据$GLOBALS //所有全局变量。
PHP CTF常见考题的绕过技巧
m0_48108919的博客
04-07 1万+
1.===绕过 PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。 只要两边字符串类型不同会返回false
CTFPHP知识点的小运用(二)
ioik~hk的博客
03-27 1万+
CTF刷题是必不可少滴。 上一讲我们已经了解了PHP的基础知识点,这一讲我们来学习一下ctfPHP知识点具体的运用。
CTFPHP特性
qq_45086218的博客
02-26 5153
文章目录正则表达式元字符模式修正符preg_match()数组绕过换行绕过intval()字符绕过科学计数法进制转换小数点绕过strpos()md5强类型比较弱类型比较md5碰撞file_put_contents()in_array()优先级 本文以ctf.show网站题目为例,总结ctfphp特性 正则表达式 元字符 模式修正符 preg_match() 数组绕过 preg_match()只能处理字符串,当传入的subject是数组时会返回false if(preg_match("/[0-9]/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值