PHP代码审计弱类型,[代码审计]php弱类型总结
0x01 前言
php是世界上最好的语言,所以php自身的安全问题也是web安全的一个方面。由于其自身弱类型语言的特性以及内置函数对于传入参数的松散处理,所以会带来很多的问题,这里将进行简要介绍。
弱类型语言对变量的数据类型没有限制,可以在人很适合将变量赋值给人以的其他类型变量,同时变量可以转换成任意其他类型的数据。
0x02 基础知识
php中有两种比较的符号 == 与 ===
=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较
== 在进行比较的时候,会先将字符串类型转化成相同,再比较
如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行
var_dump("admin"==0); //true
var_dump("1admin"==1); //true
var_dump("admin1"==1) //false
var_dump("admin1"==0) //true
var_dump("0e123456"=="0e4456789"); //true
?> //上述代码可自行测试
1 观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等
2 "1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却等于错误,也就是"admin1"被转化成了0,为什么呢??
3 "0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等
$test=1 + "10.5"; // $test=11.5(float)
$test=1+"-1.3e3"; //$test=-1299(float)
$test=1+"bob-1.3e3";//$test=1(int)
$test=1+"2admin";//$test=3(int)
$test=1+"admin2";//$test=1(int)
?>
所以就解释了"admin1"==1 =>False 的原因
0x03 比较常见的几个函数
3.1 md5绕过(Hash比较缺陷)
if (isset($_GET['Username']) && isset($_GET['password'])) {
$logined = true;
$Username = $_GET['Username'];
$password = $_GET['password'];
if (!ctype_alpha($Username)) {$logined = false;}
if (!is_numeric($password) ) {$logined = false;}
if (md5($Username) != md5($password)) {$logined = false;}
if ($logined){
echo "successful";
}else{
echo "login failed!";
}
}
?>
题目大意是要输入一个字符串和数字类型,并且他们的md5值相等,就可以成功执行下一步语句
介绍一批md5开头是0e的字符串 上文提到过,0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。md5(‘240610708‘) == md5(‘QNKCDZO‘)成功绕过!
举例:
QNKCDZO
0e830400451993494058024219903391
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
3.2 json绕过
if (isset($_POST['message'])) {
$message = json_decode($_POST['message']);
$key ="*********";
if ($message->key == $key) {
echo "flag";
}
else {
echo "fail";
}
}
else{
echo "~~~~";
}
?>
输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于 $key的值,但是$key的值我们不知道,但是可以利用0=="admin"这种形式绕过
最终payload message={"key":0}
3.3 array_search绕过
if(!is_array($_GET['test'])){exit();}
$test=$_GET['test'];
for($i=0;$i
if($test[$i]==="admin"){
echo "error";
exit();
}
$test[$i]=intval($test[$i]);
}
if(array_search("admin",$test)===0){
echo "flag";
}
else{
echo "false";
}
?>
上面是自己写的一个,先判断传入的是不是数组,然后循环遍历数组中的每个值,并且数组中的每个值不能和admin相等,并且将每个值转化为int类型,再判断传入的数组是否有admin,有则返回flag
payload test[]=0可以绕过
下面是官方手册对array_search的介绍
mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )
$needle,$haystack必需,$strict可选 函数判断$haystack中的值是存在$needle,存在则返回该值的键值 第三个参数默认为false,如果设置为true则会进行严格过滤
$a=array(0,1);
var_dump(array_search("admin",$a)); // int(0) => 返回键值0
var_dump(array_seach("1admin",$a)); // int(1) ==>返回键值1
?>
array_search函数 类似于== 也就是$a=="admin" 当然是$a=0 当然如果第三个参数为true则就不能绕过
3.4 strcmp漏洞绕过 php -v <5.3
$password="***************"
if(isset($_POST['password'])){
if (strcmp($_POST['password'], $password) == 0) {
echo "Right!!!login success";n
exit();
} else {
echo "Wrong password..";
}
?>
strcmp是比较两个字符串,如果str10 如果两者相等 返回0
我们是不知道$password的值的,题目要求strcmp判断的接受的值和$password必需相等,strcmp传入的期望类型是字符串类型,如果传入的是个数组会怎么样呢
我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型,将发生错误,但是还是判断其相等
payload: password[]=xxx
3.5 switch绕过
$a="4admin";
switch ($a) {
case 1:
echo "fail1";
break;
case 2:
echo "fail2";
break;
case 3:
echo "fail3";
break;
case 4:
echo "sucess"; //结果输出success;
break;
default:
echo "failall";
break;
}
?>
这种原理和前面的类似,就不详细解释了
0x04 参考链接
PHP代码审计弱类型,[代码审计]php弱类型总结相关推荐
- python弱类型好处_JavaScript弱类型语言的优缺点有哪些
弱类型语言也称为弱类型定义语言.与强类型定义相反.像vb,php等就属于弱类型语言· 例如:在vbscript中,可以将字符串 12 和整数 3 进行连接得到字符串 123,然后可以把它看成整数 12 ...
- php代码审计工具_【学习笔记】PHP代码审计入门:代码审计实例2
第 35 课 代码审计实例之任意文件上传 课程入口(付费) 个人背景 李,本科,电子信息工程专业,毕业一年半,有JavaScript的,PHP,Python的语言基础,目前自学网络安全中. ...
- python语言的类型是_Python语言类型
Python是一门动态解释型的强类型语言. 对这句话进行解析,语言分为动态的和静态的,编译型和解释型的,强类型的和弱类型的语言之分. 下面对三种不同维度的类型的语言进行解释: 1.编译型和解释型 差别 ...
- PHP代码审计18—PHP代码审计小结
文章目录 一.前期准备 1.工具准备 2.审计环境准备 二.了解系统架构 1.使用了开发框架 1) ThinkPHP框架 2) laravel框架 2.没使用开发框架 三.参数过滤分析 1.MVC模式 ...
- 常见代码审计工具,代码审计为什么不能只用工具?
代码审计是一种发现程序漏洞,安全分析为目标的程序源码分析方式.今天主要分享的是几款常用的代码审计工具,以及代码审计工具有哪些优缺点? 代码审计工具 seay代码审计工具,是一款开源的利用C#开发的一款 ...
- 动态类型语言和鸭子类型
面向对象的JavaScript 学过JavaScript的人都知道,JavaScript是通过原型委托的方式来实现对象和对象之间的继承,和传统面向对象编程语言(例如Java.C++)的类继承有一些 ...
- Go 学习笔记(47)— Go 标准库之 strconv(string/int 互相转换、Parse 字符串转换为指定类型、Format 指定类型格式化为字符串)
参考: http://c.biancheng.net/view/5112.html 在实际开发中我们往往需要对一些常用的数据类型进行转换,如 string . int . int64 . float ...
- Go 学习笔记(32)— 类型系统(命名类型、未命名类型、底层类型、类型强制转换、类型别名和新声明类型)
1. 命名类型和未命名类型 1.1 命名类型 类型可以通过标识符来表示,这种类型称为命名类型( Named Type ). Go 语言的基本类型中有 20 个预声明简单类型都是命名类型, Go 语言还 ...
- Python:python中的可变类型和不可变类型
Python的基本数据类型大致可分为6类: 1.Number(数字)(bool布尔类型.int整型.float浮点型.complex复数等都归为Number数字类型) 2. String(字符串) 3 ...
最新文章
- 知识点回顾-简单的TableView单组数据展示/多组数据展示
- php7.2 mysql 教程_如何在PHP7中扩展mysql,先安装php7.2。后安装mysql
- 快速搞懂监控、链路追踪、日志三者的区别
- python程序设计课程设计二级减速器_机械工程专业的本科生应该自学哪些知识?...
- golang中的http conn实现分析
- 禁止多媒体文件的预览功能
- 【完整可运行源码+GIF动画演示】十大经典排序算法系列——冒泡排序、选择排序、插入排序、希尔排序、归并排序、快速排序、堆排序、计数排序、桶排序、基数排序
- java自动获取ip_java自动获取电脑ip和MAC地址
- 北京大学数学科学学院2006/9/20声明:坚持真理、追求卓越zz
- mysql读数据入库es_ES 实现实时从Mysql数据库中读取热词,停用词
- Oracle的 EXEC SQL CONTEXT学习
- Web前端开发大系概览 (前端开发技术栈)
- LightGBM算法解析
- MCSA / Windows Server 2016 使用Hyper-V组件搭建实验环境
- 用户计算机MAC地址在哪看,怎么查看本机mac地址_电脑mac地址在哪里
- 职业教育计算机教学,浅析职业教育中的计算机教学思考.doc
- C++---暂时的休憩
- 做事的常识 书籍梗概 小仓广
- 查看邮件导致关联?亚马逊多账号管理必看
- 远程视频监控智能工业网关
热门文章
- 关于plsql查询中文字符编码问题
- 1701. Ostap and Partners(并查集-关系)
- 一个java处理JSON格式数据的通用类(五)
- 终于找到了满意的博客主题
- Hawk搜索引擎平台0.6.9测试版(提供下载)
- 计算机学院科技活动策划,计算机学院科技创新活动策划书(7页)-原创力文档...
- 我这么认真地问问题,你为啥不回答???
- Python+tkinter动态创建与销毁组件小案例
- linux5 yum安装,(5)Linux_软件管理_yum安装本地软件
- C语言 如何判断一个主机是大端还是小端