本文探讨了PHP中的弱类型比较漏洞,包括`==`和`===`的区别,以及`is_numeric()`函数的安全隐患。文章通过极客大挑战的一个实战例子,详细解释了如何利用这些漏洞进行解题。解题方法包括利用`is_numeric()`的16进制转换绕过、利用`==`比较的类型转换特性以及`strcmp()`函数在错误输入时返回0的行为。同时,给出了针对不同要求的多种绕过策略。
题目要点
- 弱类型比较漏洞
hp中有两种比较的符号 == 与 ===
== 在进行比较的时候,会先将字符串类型转化成相同,再比较
=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较
如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行
<?php
var_dump("admin"==0); //true
var_dump("1admin"==1); //true
var_dump("admin1"==1) //false
var_dump("admin1"==0) //true
var_dump("0e123456"=="0e4456789"); //true
?> //上述代码可自行测试
# 观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等
# "1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却等于错误,也就是"admin1"被转化成了0,为什么呢??
#"0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等
- is_numeric绕过
is_numeric() 判断变量是否为数字或数字字符串,不仅检查10进制,16进制也可以。
is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。所以,查看函数发现该函数对于第一个空格字符会跳过空格字符判断,接着后面的判断!
该函数还可能造成sql注入,例如将‘1 or 1’转换为16进制形式,再传参,就可以造成sql注入
-strcmp()绕过
int strcmp ( string $str1 , string $str2 )
参数 str1第一个字符串。str2第二个字符串。如果str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。可知,传入的期望类型是字符串类型的数据,但是如果我们传入非字符串类型的数据的时候,这个函数将会有怎么样的行为呢?实际上,当这个函数接受到了不符合的类型,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0 。
也就是虽然报了错,但却判定其相等
题目内容
解题
首先在pay.php页面可以看到如下注释
<!--
~~~post money and password~~~
if (isset($_POST['password'])) {
$password = $_POST['password'];
if (is_numeric($password)) {
echo "password can't be number</br>";
}elseif ($password == 404) {
echo "Password Right!</br>";
}
}
-->
现在就明确了题目的要求。
1.要求是Cuit的学生
2.要求password不是数字,但是要**$password == 404**
3.$money>=100000000
要求一绕过:
抓包后我们可以看到cookie中含有user=0,而cookie有一个简单的作用就是用户身份的识别。将0改为1。
要求二绕过:(法一)
利用 is_numeric() 的漏洞
要求二绕过:(法二)
利用==绕过
要求三绕过:(法一)
strcmp()绕过
要求三绕过:(法二)
限制money最多七位。我们可以 以指数方式提交。
3541
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
