PHP代码安全【PHP弱口令、加密函数、绕过函数】/CTF代码审计题

转自：PHP代码安全【PHP弱口令、加密函数、绕过函数】/CTF代码审计题 - Sp4rkW的博客 - CSDN博客

注：结合现在所学，把以前的一些很散的博客给汇总起来方便利用【删了黑历史，哈哈哈】

1、判等类型

1.1、”==”与”===”比较漏洞/switch

如果你认为“==”和"==="最大的区别在于，“==”是判断数值是否相等，“===”则是判断数值和类型是否相等，那就错了，这并没有说到最核心的一个关键点，要知道“==”最可怕的一点是，如果类型不同的进行比较，其会将类型转换成相同的再进行比较

<?php 

var_dump("admin" ==0);

var_dump("1admin" ==1);

var_dump("2admin" ==2);

var_dump("admin1" ==1);

var_dump("admin1" ==0);

var_dump("0e123456" =="0e4456789");

?>

#bool(true)

bool(true)

bool(true)

bool(false)

bool(true)

bool(true)

[Finished in 2.9s]123456789101112131415

"0e123456"=="0e456789"相互比较的时候，会将0e这类字符串识别为科学技术法的数字，0乘以10的无论多少次方都是零，所以相等

当一个字符串欸当作一个数值来取值，其结果和类型如下:

如果该字符串没有包含'.'，'e'，'E'并且其数值值在整形的范围之内，该字符串被当作int来取值，其他所有情况下都被作为float来取值，该字符串的开始部分决定了它的值

如果该字符串以合法的数值开始，则使用该数值，否则其值为0

<?php 

var_dump(1+"admin1");

var_dump(1+"1admin");

var_dump(1+"2e2");

var_dump(1+"-2e2");

var_dump(1+"hh-2e2");

var_dump(1+"1hh-2e2");

?>

#int(1)

int(2)

float(201)

float(-199)

int(1)

int(2)

[Finished in 0.3s]123456789101112131415

switch同等原理的利用，这里不再做解释：

<?php 

$a = "2admin";

switch ($a) {

    case '1':

        echo "1";

        break;

    case '2':

        echo "2";

        break;

    default:

        echo "3";

        break;

}

?>

#3[Finished in 0.4s]123456789101112131415

1.2、bool类型的true比较

bool类型的true跟任意字符串可以弱类型相等

<?php 

if(true == "GETF"){

    echo "OK";

}

?>

#OK[Finished in 0.3s]123456

1.3、strcmp比较漏洞

注意VERSION>5.3的官方文档

Note a difference between 5.2 and 5.3 versions 

echo (int)strcmp('pending',array()); 

will output -1 in PHP 5.2.16 (probably in all versions prior 5.3) 

but will output 0 in PHP 5.3.3 

Of course, you never need to use array as a parameter in string comparisions. 1234567

所以说5.3版本后对输入参数错误（数组）会返回0，从正常返回逻辑来说，也可以解释为相等

1.4、sha1加密比较

$_GET['name'] == $_GET['password']

sha1($_GET['name']) === sha1($_GET['password'])

#要求满足上述条件123

其实最简单的是报错，false，至于为什么，其实仔细研究SHA1加密你就发现，其要求参数不能为数组，那我将传入的参数改成数组，两边return的结果不就都为false，从而，满足不等与相等了么。实现步骤更简单，bp中将传参变量name，password加个[]即可

1.5、MD5加密比较

类型1

$_GET['name'] != $_GET['password']

MD5($_GET['name']) == MD5($_GET['password'])

#要求满足上述条件123

特殊子串举例如下：

240610708、QNKCDZO、aabg7XSs、aabC9RqS

其实就是利用了==的那个原理："0e123456"=="0e456789"相互比较的时候，会将0e这类字符串识别为科学技术法的数字，0乘以10的无论多少次方都是零，所以相等

这类特殊子串加密的结果都是0e开头的

类型2

if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){

    die("success!");

}123

使用了强等于，那么使用数组绕过，利用 error === error

param1[]=1&param2[]=21

类型3

if((string)$_POST['param1']!==(string)$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){

        die("success!);

}123

Param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2

Param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a212

MD5值相同使用谷歌可以搜到相当多被巧妙构造出的二进制文件，其MD5相同，注意一点，post时一定要urlencode！！！

2、变量覆盖漏洞

2.1、遍历初始化变量

如以下的示例代码，使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。若提交参数chs，则可覆盖变量"$chs"的值。

注意：在代码审计时需要注意类似“$$k”的变量赋值方式有可能覆盖已有的变量，从而导致一些不可控制的结果。

    <? 

    $chs = ''; 

    if($_POST && $charset != 'utf-8'){ 

        $chs = new Chinese('UTF-8', $charset); 

        foreach($_POST as $key => $value){ 

            $$key = $chs->Convert($value); 

        } 

        unset($chs); 

    } 

    ?>  12345678910

2.2、parse_str()变量覆盖

//var.php?var=new 

$var='init'; 

parse_str($_SERVER['QUERY_STRING']);  #parse_str — 将字符串解析成多个变量，如果参数str是URL传递入的查询字符串（query string），则将它解析为变量并设置到当前作用域。

print $var; 1234

$_SERVER['QUERY_STRING']的具体详细解释可以参考这里

2.3、import_request_variables变量覆盖

<?php 

$auth = '0'; 

import_request_variables('G');  #import_request_variables — 将 GET／POST／Cookie 变量导入到全局作用域中。如果你禁止了 register_globals，但又想用到一些全局变量，那么此函数就很有用。

if($auth == 1){ 

  echo "private!"; 

}else{ 

  echo "public!"; 

} 

?> 12345678910

当用户访问链接为www.xxx.com/test.php?auth=aaa时就会出现变量覆盖问题

2.4、extract()变量覆盖

<?php 

$auth = '0'; 

extract($_GET)； 

if($auth==1){ 

echo "private!"; 

}else{ 

echo "public!"; 

} 

?>

extract(array,extract_rules,prefix)# 函数从数组中将变量导入到当前的符号表,该函数使用数组键名作为变量名，使用数组键值作为变量值。

123456789101112

当用户访问链接为www.xxx.com/test.php?auth=aaa时就会出现变量覆盖问题，安全的做法是确定register_globals=OFF后，在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖。

3、想不到怎么分类的一批

3.1、ereg正则%00截断

ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE#如果在 string 中找到 pattern 模式的匹配则返回 所匹配字符串的长度，如果没有找到匹配或出错则返回 FALSE。如果没有传递入可选参数 regs 或者所匹配的字符串长度为 0，则本函数返回 1。

12

ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的。

Eregi匹配可以用%00截断

Eregi匹配可用数组绕过

ereg是处理字符串，传入数组之后，ereg是返回NULL

注意：This function was DEPRECATED in PHP 5.3.0, and REMOVED in PHP 7.0.0. 即，PHP7中已经被移除

3.2、in_array()强转类型

$array=[0,1,2,'3']; 

var_dump(in_array('abc', $array)); //true 

var_dump(in_array('1bc', $array)); //true 123

注意：在所有php认为是int的地方输入string，都会被强制转换

安全代码的一个要点：永远不要相信用户的输入！