php 弱类型总结(转载)

最新推荐文章于 2024-04-30 16:55:28 发布
最新推荐文章于 2024-04-30 16:55:28 发布
阅读量670 收藏 3
点赞数
分类专栏: ctf 文章标签: php ctf
原文链接:https://www.cnblogs.com/Mrsm1th/p/6745532.html
版权

目录

0x01 前言

最近CTF比赛,不止一次的出了php弱类型的题目,借此想总结一下关于php弱类型以及绕过方式

0x02 知识介绍

php中有两种比较的符号 “= =”与“= = =”

1 <?php
2 $a = $b ;
3 $a===$b ;
4 ?>

= = = 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较
= = 在进行比较的时候,会先将字符串类型转化成相同,再比较

如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行
这里明确了说如果一个数值和字符串进行比较的时候,会将字符串转换成数值

1 <?php
2 var_dump("admin"==0);  //true
3 var_dump("1admin"==1); //true
4 var_dump("admin1"==1) //false
5 var_dump("admin1"==0) //true
6 var_dump("0e123456"=="0e4456789"); //true 
7 ?>  //上述代码可自行测试

1 观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等
2 "1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却等于错误,也就是"admin1"被转化成了0,为什么呢??
3 "0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等

对于上述的问题我查了php手册

当一个字符串欸当作一个数值来取值,其结果和类型如下:如果该字符串没有包含’.’,‘e’,'E’并且其数值值在整形的范围之内
该字符串被当作int来取值,其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。

1 <?php
2 $test=1 + "10.5"; // $test=11.5(float)
3 $test=1+"-1.3e3"; //$test=-1299(float)
4 $test=1+"bob-1.3e3";//$test=1(int)
5 $test=1+"2admin";//$test=3(int)
6 $test=1+"admin2";//$test=1(int)
7 ?>

所以就解释了"admin1"==1 =>False 的原因

0x03 实战

md5绕过(Hash比较缺陷)

1 <?php
 2 if (isset($_GET['Username']) && isset($_GET['password'])) {
 3     $logined = true;
 4     $Username = $_GET['Username'];
 5     $password = $_GET['password'];
 6 
 7      if (!ctype_alpha($Username)) {$logined = false;}
 8      if (!is_numeric($password) ) {$logined = false;}
 9      if (md5($Username) != md5($password)) {$logined = false;}
10      if ($logined){
11     echo "successful";
12       }else{
13            echo "login failed!";
14         }
15     }
16 ?>

题目大意是要输入一个字符串和数字类型,并且他们的md5值相等,就可以成功执行下一步语句 介绍一批md5开头是0e的字符串 上文提到过,0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。md5(‘240610708’) == md5(‘QNKCDZO’)成功绕过!

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020
  
s155964671a
0e342768416822451524974117254469
  
s214587387a
0e848240448830537924465865611904
  
s214587387a
0e848240448830537924465865611904
  
s878926199a
0e545993274517709034328855841020
  
s1091221200a
0e940624217856561557816327384675
  
s1885207154a
0e509367213418206700842008763514

json绕过

<?php
if (isset($_POST['message'])) {
    $message = json_decode($_POST['message']);
    $key ="*********";
    if ($message->key == $key) {
        echo "flag";
    } 
    else {
        echo "fail";
    }
 }
 else{
     echo "~~~~";
 }
?>

输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于$ key的值,但是$ key的值我们不知道,但是可以利用0==“admin” 这种形式绕过
最终payload message={“key”:0}

array_search is_array绕过

1 <?php
 2 if(!is_array($_GET['test'])){exit();}
 3 $test=$_GET['test'];
 4 for($i=0;$i<count($test);$i++){
 5     if($test[$i]==="admin"){
 6         echo "error";
 7         exit();
 8     }
 9     $test[$i]=intval($test[$i]);
10 }
11 if(array_search("admin",$test)===0){
12     echo "flag";
13 }
14 else{
15     echo "false";
16 }
17 ?>

上面是自己写的一个,先判断传入的是不是数组,然后循环遍历数组中的每个值,并且数组中的每个值不能和admin相等,并且将每个值转化为int类型,再判断传入的数组是否有admin,有则返回
flagpayload test[]=0可以绕过
下面是官方手册对array_search的介绍

mixed array_search ( mixed $needle , array $haystack [, bool $strict =
false ] )

$ needle,$ haystack必需,$ strict可选 函数判断$ haystack中的值是存在$ needle,存在则返回该值的键值 第三个参数默认为false,如果设置为true则会进行严格过滤

1 <?php
2 $a=array(0,1);
3 var_dump(array_search("admin",$a)); // int(0) => 返回键值0
4 var_dump(array_seach("1admin",$a));  // int(1) ==>返回键值1
5 ?>

array_search函数 类似于 = = 也就是$ a == “admin” 当然是$ a=0 当然如果第三个参数为true则就不能绕过

strcmp漏洞绕过 php -v <5.3 1

<?php
 2     $password="***************"
 3      if(isset($_POST['password'])){
 4 
 5         if (strcmp($_POST['password'], $password) == 0) {
 6             echo "Right!!!login success";n
 7             exit();
 8         } else {
 9             echo "Wrong password..";
10         }
11 ?>

strcmp是比较两个字符串,如果str1<str2 则返回<0 如果str1大于str2返回>0 如果两者相等 返回0
我们是不知道$ password的值的,题目要求strcmp判断的接受的值和$ password必需相等,strcmp传入的期望类型是字符串类型,如果传入的是个数组会怎么样呢
我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型,将发生错误,但是还是判断其相等
payload: password[]=xxx

switch绕过

 1 <?php
 2 $a="4admin";
 3 switch ($a) {
 4     case 1:
 5         echo "fail1";
 6         break;
 7     case 2:
 8         echo "fail2";
 9         break;
10     case 3:
11         echo "fail3";
12         break;
13     case 4:
14         echo "sucess";  //结果输出success;
15         break;
16     default:
17         echo "failall";
18         break;
19 }
20 ?>

这种原理和前面的类似,就不详细解释了

0x04 总结

这些php弱类型只是冰山一角 上述验证了代码审计的重要性

参考
PHP网站渗透中的奇技淫巧:检查相等时的漏洞   
php中in_array()和array_search()的弱类型问题

PHP弱类型
hackzkaq的博客
12-17 4218
`搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具` 一、PHP弱类型简介 弱类型简单来说就是数据类型可以被忽视的语言,和强类型语言的强制数据类型定义不同,弱类型可以一个变量赋不同数据类型的值 php虽然属于弱语言,但是里面也有一些强语言类型相关的强制定义数据类型的方法 比如php里的 == 和 === 之间的区别 == 为松散比较 只比较值,不比较数据类型 而 === 为严格比较,不仅比较值也比较类型,可以看作是强语言的强制数据类型要相同 二、PHP弱类型影响 具体表现在比如像一些数据验证
php 弱类型总结
m0_51428325的博客
12-26 1555
知识介绍: php中有两种比较的符号`==`与`===`** <?php $a == $b; $a === $b; ?> ===在进行比较的时候,会先判断两种字符传类型是否相等,再比较 1、==和=== ==为弱相等,也就是说12=="12" --> true,而且12=="12cdf" --> true,只取字符串中开头的整数部分,但是1e3dgf这样的字符串在比较时,取的是符合科学计数法的部分:1e3,也就是1000. 而且bool类型的true
php中in array函数_in_array函数介绍与使用方法详解
weixin_36073714的博客
03-09 4292
PHP的性能一直在提高。然而,若是用的不恰当,或是一个不留神,还是可能会踩到PHP内部实现方面的坑的。我在前几天的一个性能问题上就碰到了PHP的性能一直在提高。然而,若是用的不恰当,或是一个不留神,还是可能会踩到PHP内部实现方面的坑的。我在前几天的一个性能问题上就碰到了。 事情是这样子的,一位同事反馈我们的一个接口每次返回需要5秒之久,我们一起review了代码,“惊喜”的发现居然在循环(大约9...
Web漏洞总结: OWASP Top 10
pdai的博客
01-09 4171
本文原创,更多内容可以参考: Java 全栈知识体系。如需转载请说明原处。 开发安全 - OWASP Top 10 在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业内Web安全漏洞的趋势。@pdai OWASP简介 OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不...
菜鸟学php扩展 之 详解扩展函数的传参(如何获取参数)()
咖啡色的羊驼
05-19 5252
前言经过上一文 菜鸟学php扩展 之 自动生成的扩展框架详解() ,对php扩展框架的整体了解,基本上可以说,对于扯淡如何写php扩展和关键点有了一定的把握,但关键的还是在于如何写PHP_FUNCTION的函数。 本文主要记录一下,php在调用扩展的时候进行传参,那么扩展函数是怎么接招的。当作自己的备忘录正文1.zend_parse_parameters获取函数传递的参数,可以使用zend_pa
python 重定向 ctf_CTF web题型解题技巧 第四课 web总结
weixin_39615984的博客
12-10 862
以下内容大多是我在学习过程中,借鉴前人经验总结而来,部分来源于网络,我只是在前人的基础上,对CET WEB进行一个总结;----------------------------------------------------------------------------------------------------------------------工具集:基础工具:Burpsuite,pyt...
pikachu靶场练习通关加知识点总结
qq_45584159的博客
12-11 8177
pikachu靶场练习 文章目录pikachu靶场练习前言一.暴力破解1.1 基于表单的暴力破解1.2验证码绕过(on sever)1.3验证码绕过(on client)1.4tokon防爆破二、xssxss概述DOM:文档对象类型xss形成的原因:xss漏洞的测试流程:1.1反射型xss(get)1.2反射型xss(post)三.CSRF四.SQL注入五.RCE六.文件包含七.不安全的文件下载八.越权九.目录遍历十.敏感信息泄露十一,PHP反序列化十二.XXE十三.重定向十四.SSRF十五.管理工具
php弱类型总结
1stPeak's Blog
06-18 2534
目录: PHP弱类型介绍 数字和字符串比较 CTF之md5绕过 PHP弱类型介绍 比较操作符 === 在进行比较的时候,会先判断两边的类型是否相等,再比较。 == 在进行比较的时候,如果是数字与字符串进行比较(或者字符串与数字),会先将字符串类型转化成数值型,再比较。 当字符串与数字使用==进行比较时,会将字符串类型转换成数字型再进行比较,只比较转换后的数值的大小 (1)当...
php7弱类型,PHP弱类型
weixin_35826166的博客
03-29 257
0x01 什么是弱类型强类型语言,当你定义一个变量是某个类型,如果不经过代码显式转换(强制转化)过,它就永远都是这个类型,如果把它当做其他类型来用,就会报错弱类型语言,你想把这个变量当做什么类型来用,就当做什么类型来用,语言的解析器会自动(隐式)转换。弱类型0x02 弱类型整数大小比较$temp = $_GET['password'];is_numeric($temp)?die("no numer...
php 弱类型问题
hl1293348082的专栏
04-02 340
php 是一门简单而强大的语言,提供了很多 Web 适用的语言特性,其中就包括了变量弱类型,在弱类型机制下,你能够给一个变量赋任意类型的值。 php 的 8 种变量类型 标准类型:布尔 boolen,整型 integer,浮点 float,字符 string 复杂类型:数组 array,对象 object 特殊类型:资源 resource 但由于 php 在定义变量时并不需要像 C++ 语言那样去定义其变量类型,因此在一些 CTF web 题目中,经常会碰到一些源码是 php 的题目,我们可.
php弱类型的特性】
My笔记的博客
04-30 618
php弱类型的特性
浅谈PHP弱类型安全
mimi886的专栏
01-07 1435
0x00 弱类型初探 没有人质疑php的简单强大,它提供了很多特性供开发者使用,其中一个就是弱类型机制。 在弱类型机制下 你能够执行这样的操作 <?php $var = 1; $var = array(); $var = "string"; ?> php不会严格检验传入的变量类型,也可以将变量自由的转换类型。 比如 在$a == $b的比较中 $a = null;
trae插件
最新发布
03-10
<think>好的,我现在需要帮助用户查找关于Traefik插件的使用说明、配置和示例。首先,用户提到他们想了解与Traefik插件相关的信息,特别是使用说明、配置和示例。根据用户提供的引用内容,我需要整理这些信息,并按照用户的要求进行结构化回答。 首先,我要回顾用户提供的引用内容。引用[1]提到了在静态配置文件中添加插件的配置示例,引用[3]和[5]介绍了GitHub上的示例插件demo,说明插件是通过Yaegi动态执行的,并提到了开发指南。引用[4]提到了使用Helm chart部署Traefik,这可能与插件的安装有关。引用[2]可能是一个Terraform的示例,但具体内容不明确,暂时可能用不上。 接下来,我需要确定用户的需求:他们需要知道如何配置和使用Traefik插件,包括具体的步骤和示例。根据引用内容,可以分步骤说明配置方法,比如静态配置文件中的设置,以及插件的开发或使用现有插件的步骤。可能还需要提到动态加载和注意事项,如实验性功能、版本兼容性等。 需要确保回答符合用户的要求,结构清晰,分步骤说明。同时,要引用提供的引用内容,正确标注引用标识。例如,引用[1]中的配置示例,引用[3]关于GitHub仓库的信息,引用[4]提到的Helm安装方法,以及引用[5]的项目介绍部分。 另外,用户可能对插件的实际应用场景和如何开发自己的插件感兴趣,所以可能需要包含这些信息。还要生成相关问题,如如何开发自定义插件、动态加载机制、性能影响等。 需要注意的是,用户提供的引用中有部分内容可能不直接相关,比如引用[2]的Terraform示例,但如果没有更相关的信息,可以暂时忽略。确保回答中的引用准确对应到相关的部分。 总结回答结构: 1. 插件配置步骤,包括静态配置文件示例和Helm安装。 2. 使用现有插件的步骤,比如demo插件的安装。 3. 开发自定义插件的基本流程。 4. 注意事项,如实验性功能、版本要求等。 5. 相关问题部分,生成相关问题。 现在需要将这些信息整合成自然的中文回答,正确引用来源,并确保LaTeX格式符合要求,虽然用户的问题可能不涉及数学公式,但如果有变量或代码,需要使用正确的格式。例如,配置示例中的代码块需要用反引号包裹,并注明语言类型。 检查是否有遗漏的信息,比如引用[3]提到的Yaegi解释器,可能需要解释动态加载机制。同时,引用[5]提到插件是扩展Traefik功能的强大工具,可以用于流量管理,这部分可以在应用场景中提及。 最后,生成的相关问题需要与Traefik插件的使用、开发、配置相关,确保问题有针对性,能够引导用户进一步探索。</think>### Traefik 插件使用说明与配置示例 #### 1. 插件配置基础步骤 Traefik 插件通过静态配置文件或动态加载实现。以下为静态配置示例(需在 Traefik 的 YAML 配置文件中添加): ```yaml experimental: localPlugins: example: moduleName: github.com/traefik/plugindemo # 插件模块路径[^1] ``` 此配置声明了一个名为 `example` 的本地插件,指向 GitHub 上的示例仓库[^3]。 若使用 Helm 安装 Traefik,需在 `values.yaml` 中启用插件支持: ```yaml experimental: plugins: enabled: true # 启用插件功能[^4] ``` #### 2. 使用现有插件(以 demo 插件为例) 1. **安装插件** 通过修改 Traefik 部署配置,将插件代码编译到 Traefik 二进制文件中,或通过动态加载(需 Yaegi 支持)。 2. **配置路由规则** 在 `IngressRoute` 中引用插件: ```yaml apiVersion: traefik.io/v1alpha1 kind: Middleware metadata: name: demo-plugin spec: plugin: example: # 插件名称 headerName: "X-Custom-Header" headerValue: "Hello from Plugin" ``` #### 3. 开发自定义插件 1. **代码结构** 遵循 Traefik 插件接口规范,实现 `New` 初始化方法和 `Handle` 请求处理逻辑[^3]。 2. **动态加载** 利用 Yaegi 解释器实时加载插件(无需重启 Traefik): ```go // 示例插件逻辑 func New(ctx context.Context, config *Configuration) (http.Handler, error) { return &demoPlugin{config}, nil } ``` #### 4. 注意事项 - **实验性功能**:插件功能标记为实验性,需在配置中显式启用[^4]。 - **版本兼容性**:确认 Traefik 版本支持插件(建议 v2.3+)[^4]。 - **安全限制**:动态加载插件需注意代码安全性,建议审核第三方插件[^5]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值