本文探讨了PHP中通过构造特定序列化数据绕过验证的方法,利用弱类型比较特性实现任意权限的获取。文章详细分析了如何利用已知加密后的用户名,结合PHP的==运算符特点,构造bool类型的序列化数据,使验证逻辑始终返回true。
打开网页,查看源码,看到
<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') -->
说明用户名需要加密之后为0。
对于PHP的==号,在使用 == 运算符对两个字符串进行松散比较时,PHP会把类数值的字符串转换为数值进行比较,如果参数是字符串,则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值。比如: '3' == '3ascasd'结果为true。
这几个在加密之后第一个数字为0:240610708,aabg7XSs,aabC9RqS 。
随便提交一个之后,出现/user.php?fame=hjkleffifer。
于是我们进入这个网页看到
意思就是将password反序列化之后,
$data_unserialize['user'] == '???' && $data_unserialize['pass']=='???'
而且下面的文字也提示是布尔,又bool类型的true跟任意字符串可以弱类型相等。因此我们可以构造bool类型的序列化数据 ,无论比较的值是什么,结果都为true。
这是php代码:
<?php
$test='';
$test=array('user' => true,'pass'=>true );
print(serialize($test));
?>不能让'user'=>'???','pass'=>'???',这样是错误的。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
