关于php弱类型的一些笔记

最新推荐文章于 2025-10-30 22:06:19 发布
原创 最新推荐文章于 2025-10-30 22:06:19 发布 · 181 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了PHP中不同类型的转换规则,特别是在比较运算符和某些函数中的行为,包括松散与严格比较的区别、switch语句的行为、in_array函数的用法、is_numeric函数的安全隐患以及md5函数在特定情况下的绕过技巧。

1.当比较运算时,会先转换类型,再进行比较,当一个字符串被转换为数值比较时,如果字符串的开始不包含’0e‘,’0x‘等特殊字符,其数值为开头数字表示的数值,如果字符串开头不为数字,则会转换为0,而如果开头包含0e,则会按照科学计数法计算,即两个0e开头的字符串会被认为相等。当有0x开头的字符串,则会转换为十六进制进行比较。如下:

<?php
if("0x1046a" == 66666){
	echo 'yes';
}
else{
	echo 'no';
}
?>

这样比较,返回结果总为’yes‘。
上述例子均为松散比较,当转换为===即严格比较时,上述大部分的比较不会为真,因为严格比较并不会将比较对象转换为同一类型。
2.部分函数在判断时,也会有松散性。
switch

<?php
$a = $_GET['id'];
switch($a){
	case 1:{
	echo '1';
	break;
	}
	case 2:{
	echo '2';
	break;
	}
	case 3:{
	echo '3';
	break;
	}
}
?>

当id=1sadkj时,会返回1,也就是switch内的参数,会转换为数字型。
in_array()
in_array(search,array,type),search参数时被搜索参数,array时需要检索的数字,type为检索类型,当在array中有search参数,则返回true,而当type为空时,检索时为松散比较,当type为true时,检索为严格比较。如下

<?php
$a = $_GET['id']; 
if(in_array($a,array(1,2,3,4))){
	echo 'true';
}
else{
	echo 'false';
}
?>

当传入的id为1awd时,会返回true,当将type改为true时,则会返回false,同时,如果id=1,那么也会返回false,因为get传入的参数均是字符串。
is_numeric
该函数用于判断参数是否为数字,这里的判断同样是松散比较,因此传入十六进制的字符串可以进行绕过,而这个函数的漏洞有时可以进行二次注入,当后端对传入的数据通过该函数进行验证时,就可以将恶意语句进行十六进制编码,而十六进制的数据在储存进数据库时,会进行解码,将恶意语句存入数据库,如果代码未对取出的数据进行校验,就会造成二次注入。
strcmp
该函数会比较传入的两个字符串,如果值相等,就会返回0,str1>str2,返回>0,str1<str2时,返回<0。在5.3及以后的php版本中,比较的如果是数组和字符串,也会返回0。
md5
该函数用于返会字符串的md5值,而由于数组无法计算md5值,会返回null,因此两个数组的md5值进行比较会返回true。而有些字符串转换为md5后,为0e开头,在比较时会转换为科学计数法,也可以绕过一些防护。如下为一些md5值0e开头的字符串:
QNKCDZO s878926199a s155964671a s214587387a s878926199a s1091221200a
而在做题时,遇到了一种md5验证的题,部分源码如下:

 <?php
$string_1 = $_GET['str1']; 
$string_2 = $_GET['str2'];
        if(is_numeric($string_1)){ 
            $md5_1 = md5($string_1); 
            $md5_2 = md5($string_2); 
            if($md5_1 != $md5_2){ 
                $a = strtr($md5_1, 'cxhp', '0123'); 
                $b = strtr($md5_2, 'cxhp', '0123'); 
                if($a == $b){
                    echo 'flag';
                }
                else {
                    die('you are close');
                }
}
		}
?>

代码大意为找一个数字,它的MD5值与另一个参数的MD5值进行比较,如果相等则返回flag,做这道题时,是在网上找到的代码,如下:

<?php
$count = 0;
for ($i = 1; $i <= 100000000; $i++) {
    $md5 = strtr(md5($i), 'cxhp', '0123');
    if (preg_match('/^0e\d+$/', $md5)) {
        echo $i . " " . md5($i) . "<br>";
        $count++;
    }
    if ($count == 2) {
        break;
    }
}

该代码会生成两个0e开头的数字,将这两个数字作为参数传入,即可得到flag。

saskuras
关注
PHP面试编程题汇总(4)
左撇子
12-09 601
接上文:PHP面试编程题汇总(3) 41. 以下程序运行结果正确的是 $str = "LAMP"; $str1 = "LAMPBrother"; $strc = strcmp($str, $str1); switch ($strc) { case 1: echo "str > str1"; break; case '–1':
学习笔记-php弱类型
人饭子的博客
10-31 786
弱类型 相关文章 & Source & Reference PHP弱类型你真的懂了吗? php 弱类型总结 PHP弱类型hash比较缺陷 ctf php弱类型、松散比较、哈希缺陷、MD5绕过、变量覆盖 浅谈md5弱类型比较和强碰撞 MD5相关 preg_match绕过总结 PHP利用PCRE回溯次数限制绕过某些安全限制 相关 writeup ISITDTU CTF 201...
#笔记(二十六)#PHP弱类型小结
vircorns的博客
02-23 178
File Upload
CTF中的MD5绕过
最新发布
m0_73937787的博客
10-30 1477
CTF中的MD5绕过
php函数in_array奇怪现象
zvivs的专栏
07-04 939
$k = 0; $fieldArr = array('tt', 'bb'); if ( in_array( $k, $fieldArr)) { echo '1'; } 按理来说,是不会输出1的,但是最后输出1, 是不是in_array函数使用的时候会转类型呢,卖个关子,看了源码告诉大家
自用-PHP
Z13051013697的博客
03-16 232
文件包含漏洞 重要的文件 /etc/passwd /etc/my.conf 目录遍历 <?php $a=$_GET['a']; include('/var/www/html'.$_a); // payload:?a=../../etc/passwd ?> 00截断 <?php $a=$_GET['a']; include($_a.'/var/www/html'); // payload:?a=/etc/passwd%00 ?> 伪协议 php://input pay
ctf php黑魔法,CTF之PHP黑魔法总结 Web程序【tofacebook.com】 - 贪吃蛇
weixin_39898550的博客
03-11 318
标签:代码审计echodisableshow产生isalogcbo科学继上一篇php各版本的姿势(不同版本的利用特性),文章总结了php版本差异,现在在来一篇本地日记总结的php黑魔法,是以前做CTF时遇到并记录的,很适合在做CTF代码审计的时候翻翻看看。一、要求变量原值不同但md5或sha1相同的情况下1.0e开头的全部相等(==判断)240610...
【基础篇】第12篇:PHP代码审计笔记--弱类型存在的安全问题1
08-03
#### 一、PHP弱类型特性及其安全问题 **1.1 弱类型语言特性** PHP是一种弱类型语言,这意味着开发者在声明变量时无需明确指定其数据类型。PHP会根据变量赋值的情况自动进行类型转换。这种特性在提高编程效率的同时...
PHP学习笔记之一
10-28
PHP弱类型的语言,这意味着变量在声明时无需指定类型,并且在不同类型的值之间可以自由转换。变量的名称以`$`符号开头,且对大小写敏感。PHP支持多种数据类型,包括布尔型、整型、浮点型、字符串、数组和对象。...
PHP学习笔记(二):变量详解
10-24
PHP是一种弱类型语言,变量的类型是在运行时自动确定的,不需要在声明变量时指定其类型。变量的类型由赋值操作决定,而非预先定义。变量命名规则包括: 1. 变量名不能以数字开头; 2. 变量名不能使用PHP中的运算符,...
PHP移动后端开发课堂笔记
07-07
变量前缀是"$",它们是弱类型,但在声明时也可以指定类型。常量使用const关键字定义,一旦设定就不能改变。 PHP支持多种数据类型,包括标量类型(布尔、整型、浮点型和字符串)和复合类型(数组和对象)。布尔型...
CTF之PHP黑魔法总结
aiquan9342的博客
10-05 548
继上一篇php各版本的姿势(不同版本的利用特性),文章总结了php版本差异,现在在来一篇本地日记总结的php黑魔法,是以前做CTF时遇到并记录的,很适合在做CTF代码审计的时候翻翻看看。 一、要求变量原值不同但md5或sha1相同的情况下 1.0e开头的全部相等(==判断) 240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回...
MD5绕过 --- CTF
那酷小样的博客
10-19 1万+
如:if(v1 !=v2 &amp;&amp; md5(v1) == md5(v2)):{ return true; } 绕过 根据MD5的特性,有两点漏洞 1.两个开头为0的md5值相同。 2.md5不能处理数组。 绕过: 方法1:v1,v2 找到两个开头为0的md5值,例如:v1=s878926199a&amp;&amp;v2=s155964671a 方法2:根据md5函数特性,用两个值不同但...
2024的ISCTF的复现
2401_82388450的博客
11-26 1825
简单的绕过小蓝鲨的冒险?parse_str函数:变量覆盖s878926199a:0e绕过num=2024\0intval函数有个特性:直到遇上数字或正负符号才开始做转换,在遇到非数字或字符串结束时(\0)结束转换。注意:是一个 PHP 语句,它用于包含并运行指定的 PHP 文件。拼接文件名:将$which变量的值和一个.php扩展名拼接起来,形成完整的文件名。?​num=2024.1考察重定向打开环境发现存在跳转bp抓包 题目链接 发包发现hint。
常见的MD5碰撞:md5值为0e开头
热门推荐
烟雨天青色
07-24 1万+
0e开头的md5和原值:QNKCDZO 0e830400451993494058024219903391240610708 0e462097431906509019562988736854s878926199a 0e545993274517709034328855841020s155964671a 0e342768416822451524974117254469s214587387a 0e8482...
实验吧:天网管理系统
weixin_30432007的博客
11-03 180
查看源代码:关键部分如下: 可见是php弱类型:抓包改username值为:s878926199a(md5加密后为0开头就可以) 然后给了一个文件进入: 代码的意思是PASSWORD的值反序列化后判断user和pass,而又提示了布尔,输入序列化后的代码:a:2:{s:4:"user";b:1;s:4:"pass";b:1;} 返回flag。 转载于:https://ww...
bugku Web27
qq_52671379的博客
06-14 153
Web27 题目 代码大致意思 变量MD51的MD5值等于QNKCDZO 变量a的值是通过get的方式传值 变量MD52的值等于变量a的MD5值 判断函数用于检测变量是否已设置并且非 NULL 是则输出please input a 如果变量a的值不等于QNKCDZO且变量MD51MD52输出flag 否则输出false 另外 PHP在处理哈希字符串时,会利用”!=”或””来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么
【超全总结】CTF常见的MD5绕过漏洞和应对方法
M0nH1N的博客
08-06 7572
$str1 = $_GET['str1'];$str2 = $_GET['str2'];if (md5($str1) == md5($str2)){die('OK'); } php弱类型比较产生的漏洞 想要满足这个判断只需要构造出MD5值为0e开头的字符串,这样的话弱类型比较会认为是科学技术法,0的多少次方都是0,因此可以绕过 有一些字符串的MD5值为0e开头,这里记录一下 QNKCDZO 240610708 s878926199a s155964671a s2145
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值