PHP弱类型引发的漏洞实例

最新推荐文章于 2025-03-17 15:23:47 发布
最新推荐文章于 2025-03-17 15:23:47 发布
阅读量382 收藏
点赞数
分类专栏: php
原文链接:https://www.freebuf.com/articles/web/166543.html?utm_source=tuicool&utm_medium=referral
版权

我们知道PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量的值转换为正确的数据类型,但在这个转换过程中就有可能引发一些安全问题。

类型转换

1、会先进行类型转换,再进行对比

2、会先比较类型,如果类型不同直接返回false,参考如下

PHP弱类型引发的漏洞实例

注意:

1 . 当一个字符串被当作一个数值来取值,其结果和类型如下:如果该字符串没有包含’.',’e',’E'并且其数值值在整型的范围之内,该字符串被当作int来取值。其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。

PHP弱类型引发的漏洞实例

 

2.  在进行比较运算时,如果遇到了0e这类字符串,PHP会将它解析为科学计数法。

PHP弱类型引发的漏洞实例

 

3.  在进行比较运算时,如果遇到了0x这类字符串,PHP会将它解析为十六进制。

PHP弱类型引发的漏洞实例

 

实例:DedeCMS(20180109)任意用户密码重置

PHP弱类型引发的漏洞实例

在找回密码时,当$dopost = safequestion时,通过传入的member_id查询出对应id用户的安全问题和答案信息,当我们传入的问题和答案不为空,而且等于之前设置的问题和答案,就进入sn()函数。

这里如果用户设置了问题和答案,我们并不知道问题和答案是什么,就无法进入sn()函数。但是如果此用户没有设置问题和答案呢?此时系统默认问题0″,答案是空。0.、0.1、0e1、利用PHP弱类型即可绕过if判断

直接发送如下请求即可获取重置密码的链接:

http://localhost/DedeCMS-V5.7-UTF8-SP2/member/resetpassword.php?dopost=safequestion&safequestion=0e1&safeanwser=&id=1

PHP弱类型引发的漏洞实例

然后获取的重置面链接为:(只有没有设置安全问题的用户才能重置)

http://localhost/DedeCMS-V5.7-UTF8-SP2/member/resetpassword.php?dopost=getpasswd&id=1&key=D2kIQomh

PHP弱类型引发的漏洞实例

函数松散性

switch()

如果switch是数字类型的case的判断时,switch会将其中的参数转换为int类型。

PHP弱类型引发的漏洞实例

输出:this is 2

 

实例:HDwikiSQL注入

PHP弱类型引发的漏洞实例

实际执行的语句:

SELECT COUNT(*) num FROM wiki_focus WHERE type=2 and 1=1

PHP弱类型引发的漏洞实例

in_array()

in_array(search,array,type): 如果给定的值 search 存在于数组 array 中则返回 true(类似于==)。如果第三个参数设置为 true,函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true(类似于===)。如果没有在数组中找到参数,函数返回 false。

PHP弱类型引发的漏洞实例

 

实例:Piwigo SQL注入

is_numeric()

is_numeric在做判断时候,如果攻击者把payload改成十六进制0x…,is_numeric会先对十六进制做类型判断,十六进制被判断为数字型为真,就进入了条件语句,如果再把这个代入进入sql语句进入mysql数据库,mysql数据库会对hex进行解析成字符串存入到数据库中,如果这个字段再被取出来二次利用,就可能造成二次注入漏洞。

PHP弱类型引发的漏洞实例

ps: php7 输出:no no no, it's not number

 

实例:PHPYun二次注入

15221623968204.png!small

 

strcmp()

strcmp(string1,string2):比较括号内的两个字符串string1和string2,
当他们两个相等时,返回0;
string1的大于string2时,返回>0;
小于时返回<0。
在5.3及以后的php版本中,当strcmp()括号内是一个数组与字符串比较时,也会返回0。

图片 13.png

md5()

string md5 ( string $str [, bool $raw_output = false ] )

md5()需要是一个string类型的参数。但是当你传递一个array时,md5()不会报错,只是会无法正确地求出array的md5值,返回null,这样就会导致任意2个array的md5值都会相等。

PHP弱类型引发的漏洞实例

以上就是常见的利用PHP弱类型产生的一些安全问题,在CTF、PHP代码审计中也会遇到这种利用弱类型来绕过逻辑判断,进而引发更大问题的漏洞。希望这个小结能帮助到大家,谢谢~~

参考

http://php.net/manual/zh/types.comparisons.php

http://wooyun.org/bugs/wooyun-2015-089892

http://wooyun.org/bugs/wooyun-2015-0122884

http://blog.nsfocus.net/dedecms-20180109/

https://blog.formsec.cn/2018/02/05/php-weak-type/

https://www.cnblogs.com/Mrsm1th/p/6745532.html

http://www.jsdaima.com/blog/117.html

http://www.freebuf.com/articles/web/55075.html

PHP弱类型比较漏洞
这里是一处长期不更新的博客
09-22 503
php中有两种比较符号 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类型比较 PHP松散比较“==”的比较PHP官网表格:http://php.net/manual/zh/types.comparisons.php 举例 <?php var_dump(1=="1"); var_dump(123=='123asd'); var_dump("1"==true); var_dump("0"==false); var_dump(-1 == true);.
PHP弱类型及一些绕过姿势
Lemon's blog
04-30 5933
前言: 做web题时经常会遇到各种php弱类型或者是php的一些漏洞函数,由于知识比较零碎,就总结一下我所遇到的,也方便自己以后观看。 0x01:Hash比较缺陷 产生原因: PHP在处理哈希字符串时,通过!=或==来对哈希值进行比较,它把每一个以0e开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以0e开头的,那么PHP将会认为他们相同,都是0 具体实例: 审计代码,我...
PHP弱类型比较漏洞,PHP弱类型引发漏洞实例
weixin_36122809的博客
03-11 354
【非原创】我们知道PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量的值转换为正确的数据类型,但在这个转换过程中就有可能引发一些安全问题。类型转换会先进行类型转换,再进行对比会先比较类型,如果类型不同直接返回false,参考如下注意:当一个字符串被当作一个数值来取值,其结果和类型如下:如果该字符串没有包含’.',’e',’E'并且其数值值在整形的范围...
php弱类型漏洞
bouIevard的博客
09-15 1246
题目如下 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric在num是数字或数字字符串的时候返回1 所以这个题目要得到flag 既需要num不是数字字符串 又需要是1 但注意下面的是php里面的弱等于==而不是强等于=== 在弱等于判断机制里 会发生类型转换 1 == 1abc也是对的 可以在数字后面加上空运算符%00或者空格%20或..
PHP网站渗透中的奇技淫巧:检查相等时的漏洞
weixin_34365635的博客
03-24 324
PHP是现在网站中最为常用的后端语言之一,是一种类型系统 动态、弱类型的面向对象式编程语言。可以嵌入HTML文本中,是目前最流行的web后端语言之一,并且可以和Web Server 如apache和nginx方便的融合。目前,已经占据了服务端市场的极大占有量。   但是,弱类型,一些方便的特性由于新手程序员的不当使用,造成了一些漏洞,这篇文章就来介绍一下一些渗透中可以用的特性。   上面都是废话,...
【CTF Web安全】PHP弱类型与伪协议漏洞解析:CTF Web题型理论基础及绕过技巧总结
最新发布
05-13
PHP弱类型部分详细解释了“==”与“===”的区别,以及由此引发的各种绕过方法,如md5、json、array_search、strcmp等函数的特殊用法。PHP伪协议部分则列举了php://、file://、phar://、zlib://、data://等协议的功能...
php中Y2K38的漏洞解决方法实例分析
12-19
PHP编程环境中,Y2K38问题,也被称为Unix Millennium Bug或2038年问题,是一个由于32位系统处理时间戳的方式所导致的潜在严重漏洞。此问题源于32位系统中整型变量的限制,这些系统通常用整数来存储自1970年1月1日...
PHP 小心urldecode引发的SQL注入漏洞
10-28
文章《PHP 小心urldecode引发的SQL注入漏洞》探讨了由于PHP内部处理表单数据时的自动URL解码,以及开发者对urldecode函数的误用,可能引发的安全风险。 首先,PHP在处理表单数据,如$_GET和$_POST时,会自动对输入...
ssrf漏洞利用+CTF实例
hyq99999的博客
09-08 1571
ssrf漏洞,redis未授权访问
HDWiki-6.0-UTF8_everywhere397_wiki_维基8_1983utf_
10-03
国内功能最全的wiki网站代码,画面简洁,安装简单。
php弱类型漏洞,php代码审计之弱类型引发的灾难
weixin_33936345的博客
03-28 328
天融信阿尔法实验室 李喆有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它。这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只...
PHP漏洞-弱类型】基础知识、php弱相等、报错绕过
07-02 1244
PHP特性-弱类型
php代码审计1之弱类型得缺点
划水的小白白
06-29 224
1、字符串的开头为字母 2、字符串开头出现了数字 3、小结 4、涉及函数(in_array与array_search) 4.1、in_array 函数的作用 4.2、问题 4.3、另一种修复思路 5、涉及函数(is_numeric) 6、涉及函数( switch )
PHP弱类型比较(松散比较)方面的漏洞
baidu_41871794的博客
11-05 8849
PHP弱类型比较(松散比较)方面的漏洞 斜体样式PHP松散比较“==”的比较表 这个表格在PHP官方文档很容易找到,链接为:http://php.net/manual/zh/types.comparisons.php 对于表格中一些比较的验证,说明确实有这样的问题 代码: &lt;?php var_dump(1=="1"); var_dump(123=='123asd'); var_dump("...
PHP弱类型比较漏洞原理
zj2084的博客
03-17 223
二、Hash比较 MD5加密后为0e开头的字符串 五、极值比较缺陷 八、练习 对这段代码进行代码审计,我们必须满足两个条件才能够得到flag第一个条件是我们必须传入一个参数,不能传入空值或为空值第二个条件是我们传入的值必须满足if语句中的限制条件所以允许我们传入的参数是s155964671a
弱类型语言 Hash比较存在缺陷
Lisam Blog
08-29 1356
转自:来自FreeBuf黑客与极客(FreeBuf.COM)-->http://www.freebuf.com/news/67007.html 最近一个被称为“Magic Hash”的PHP漏洞可以使得攻击者非法获取用户的账号信息。漏洞原因是PHP以一种特定的方式处理被哈希的字符串,攻击者可以利用其从中尝试并可能获取密码,绕过登录认证系统和其它运行在PHP哈希比较之上的函数。 漏洞描述
PHP弱类型
03-09
### PHP 弱类型特性及用法 #### 基本概念 PHP 是一种弱类型的编程语言,在这种环境中,变量的数据类型可以在必要时自动转换。这意味着开发者无需显式声明变量的类型,PHP 会在运算过程中根据上下文环境推断并调整这些类型[^1]。 #### 类型比较操作符 对于比较操作而言,`==` 和 `===` 存在差异。前者仅对比数值上的相等性,并允许不同类型的值之间进行隐式的类型转换;后者则是严格的全等比较,既检验值也校验数据类型的一致性。 ```php // 使用 == 进行松散比较 var_dump(0 == "abc"); // bool(true) // 使用 === 进行严格比较 var_dump(0 === "abc"); // bool(false) ``` #### 数据类型转换规则 当涉及到不同类型之间的比较或者赋值时,PHP 遵循特定的转换逻辑: - 字符串到整数/浮点数:如果字符串开头部分能解析成有效的数字,则取这部分作为结果; - 数字到布尔值:零或空字符串视为假(`false`),其他任何非零数值都视作真(`true`); - 浮点数到整数:会截掉小数部分只保留整数位; - 更多复杂的组合情况也有相应的处理方式。 #### 安全隐患 由于弱类型机制的存在,某些情况下可能导致意外行为甚至安全漏洞的发生。例如未经充分验证就使用来自用户的输入去构建查询语句、文件路径或是命令行参数等敏感场景下容易引发SQL注入、远程代码执行等问题[^2][^3]。 #### 应对措施 为了防止潜在风险,应当遵循最佳实践原则: - 对所有外部输入做必要的清理和验证工作; - 尽量采用严格模式下的比较运算符 (`===`, `!==`) 来替代宽松版本; - 利用预编译语句代替直接拼接 SQL 查询; - 不要轻易信任用户提交的内容用于创建对象实例或其他可能触发反射特性的场合。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值