PHP是一门比较松散的语言,既方便,又容易出现一些问题。本文主要概括一些常见的PHP弱类型,正则表达式函数跟变量覆盖的内容,在CTF这方面也经常出现在代码审计相关的题目中。
一、弱类型
0x01 "=="与"==="的区别
在使用"=="时会自动转换类型,而"==="则是校验类型,而非转换。
1 == '1'; //true
1 == '1abcdef'; //true
0 == 'abcdefg'; //true
0 === 'abcdefg'; //false
0x02 Hash比较
使用"=="时,如果字符串满足0e\d+,解析为科学计数法,否则视为正常字符串。
"0e132456789" == "0e7124511451155" //true
"0e123456abc" == "0e1dddada" //false
"0e1abc"=="0" //true
md5('240610708') == md5('QNKCDZO') //true
0e开头的md5:
QNKCDZO
0e830400451993494058024219903391
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
0x03 传入数组返回null系列
md5()是不能处理数组的,md5(数组)会返回null,同理的有sha1(),strlen(),eregx()。
$array1[] = array(
"foo" => "bar",
"bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true
0x04 十六进制转换
使用"=="时,PHP会将十六进制转换为十进制然后再进行比较
"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false
0x05 intval()函数
intval()函数会将从字符串的开始进行转换直到遇到一个非数字的字符。
如果出现无法转换的字符串,intval()不会报错而是返回0。
if(intval($a)>1000) {
mysql_query("select * from news where id=".$a)
}
这个时候$a的值有可能是1002 union…..
0x6 strcmp()函数
strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算。
在PHP5.3版本之后使用这个函数比较array跟sring会返回0。
$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。
0x07 switch()函数
如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。
$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
echo "i is less than 3 but not negative";
break;
case 3:
echo "i is 3";
}
0x08 in_array(),array_search()函数
bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ),
如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。
当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。
$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true
0x09 is_numeric()函数
当有两个is_numeric判断并用and连接时,and后面的is_numeric可以绕过.
"="优先级比and高。
<?php
$a=$_GET['a'];
$b=$_GET['b'];
$c=is_numeric($a) and is_numeric($b);
var_dump(is_numeric($a));
var_dump(is_numeric($b));
var_dump($c); //$b可以不是数字,同样返回true
$test=true and false;
var_dump($test); //返回true
?>
16进制也可以绕过is_numeric()检验,可以用来绕过sql注入里的过滤.
<?php
$a = is_numeric ( $_GET ['a'] ) ? $_GET ['a'] : 0;
$con = mysql_connect ( 'localhost', 'root', 'root' );
mysql_select_db ( 'test' );
$sql = 'insert into a values(' . $a . ',"a")';
mysql_query ( $sql );
?>
test.php?a=0x31206f7220313d31时,数据库中成功插入值
0x10 json绕过
输入一个json类型的字符串,json_decode函数解密成一个数组,
判断数组中key的值是否等于 $key的值,但是$key的值我们不知道,
但是可以利用0=="admin"这种形式绕过
最终payload message={"key":0}
<?php
if (isset($_POST['message'])) {
$message = json_decode($_POST['message']);
$key ="*********";
if ($message->key == $key) {
echo "flag";
}
else {
echo "fail";
}
}
else{
echo "~~~~";
}
?>
二、正则表达式
0x01 eregi()函数
1. 字符串对比解析,当ereg读取字符串string时,%00后面的字符串不会不会被解析。
#这里 a=abcd%001234,可以绕过
<?php
if (ereg ("^[a-zA-Z]+$", $_GET['a']) === FALSE) {
echo 'You password must be alphabet';
}
?>
2. 如果传入数组,ereg返回NULL
0x02 preg_match函数
如果在进行正则表达式匹配的时候,没有限制字符串的开始和结束(^ 和 $),则可以存在绕过的问题.
$ip = '1.1.1.1 abcd'; // 可以绕过
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
die('error');
} else {
// echo('key...')
}
0x03 preg_replace函数
preg_replace() 的第一个参数如果存在 /e 模式修饰符,则允许代码执行。
如果没有 /e 修饰符,可以尝试 %00 截断。
<?php
preg_replace("/test/e",$_GET["nac"],"jutst test");
?>
?nac=phpinfo() #可以被执行
三、变量覆盖
0x01 extract()函数
extract() 函数从数组中把变量导入到当前的符号表中。
对于数组中的每个元素,键名用于变量名,键值用于变量值。
<?php
$auth = '0';
// 这里可以覆盖$auth的变量值
extract($_GET);
if($auth == 1){
echo "private!";
} else{
echo "public!";
}
?>
0x02 parse_str()函数
parse_str() 的作用是解析字符串,并注册成变量.
与 parse_str() 类似的函数还有 mb_parse_str(),parse_str() 将字符串解析成多个变量,
如果参数 str 是 URL 传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域.
//var.php?var=new
$var='init';
parse_str($_SERVER['QUERY_STRING']);
// $var 会变成 new
echo $var;
0x03 $$的使用
如果把变量本身的 key 也当变量,也就是使用了 $$,就可能存在问题。
// http://127.0.0.1/index.php?_CONFIG=123
$_CONFIG['extraSecure'] = true;
foreach(array('_GET','_POST') as $method) {
foreach($$method as $key=>$value) {
// $key == _CONFIG
// $$key == $_CONFIG
// 这个函数会把 $_CONFIG 变量销毁
unset($$key);
}
}
if ($_CONFIG['extraSecure'] == false) {
echo 'flag {****}';
}
0x04 unset()
unset($bar); 用来销毁指定的变量,如果变量 $bar 包含在请求参数中,
可能出现销毁一些变量而实现程序逻辑绕过。