本文探讨了PHP中strcmp()函数的一个安全漏洞,特别是在PHP 5.3版本以上的情况。当传入非字符串类型的数据时,函数错误地返回0,可能导致判断错误。此漏洞在后续版本已修复,但在旧版PHP中可用于渗透测试。通过构造如?a[]=123这样的payload,可以绕过strcmp()的比较限制,获取Flag。
php strcmp bypass漏洞
在PHP 5.3版本以上的strcmp()有一个bypass漏洞,在说这个漏洞之前我们先来看一下strcmp()这个函数。
int strcmp ( string $str1 , string $str2 )
如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。(注意该比较区分大小写。)
测试代码如下:
<?php
$password = $_GET['pass'];
if (strcmp('websec',$password)){
echo "No!";
}
else{
echo "Success!";
}
?>可知,传入的期望类型是字符串类型的数据,但是如果我们传入非字符串类型的数据的时候,这个函数将会有怎么样的行为呢?实际上,当这个函数接受到了不符合的类型,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0 !!!! 也就是虽然报了错,但却判定其相等了。这对于使用这个函数来做选择语句中的判断的代码来说简直是一个致命的漏洞,当然,php官方在后面的版本中修复了这个漏洞,使得报错的时候函数不返回任何值。但是我们仍然可以使用这个漏洞对使用老版本php的网站进行渗透测试。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
