PHP 弱类型

php比较2个值是否相等可以用“==”或“===”，“==”会在比较时自动转换类型而不改变原来的值，因此这个符号经常出现漏洞。“==”比较相等的一些常见值如下，当某些语句的判断条件是使用“==”来判断时，就可以使用弱类型来替代。值得一提的是“0e”开头的哈希字符串，php在处理哈希字符串时会把每个以“0e”开头的哈希值都解释为0。

'' == 0 == false
'123' == 123
'abc' == 0
'123a' == 123
'0x01' == 1
'0e12346789' == '0e987654321'
[false] == [0] == [NULL] == ['']
NULL == false == 0
true == 1

如果遇到了“===”则不会进行类型转换，但也并不代表无从下手。如果条件表达式中含有函数，也可以通过传入数组让函数返回NULL使得条件满足。

MD5碰撞漏洞

MD5信息摘要算法是一种被广泛使用的密码散列函数，可以产生出一个128位（16字节）的散列值用于确保信息传输完整一致。而PHP在处理哈希字符串时，“0e”开头的值利用“==”判断相等时会被视为0.所以如果两个不同的密码经过哈希以后，其哈希值都是以“0e”开头的，那么PHP将会认为他们相同，这就是所谓的MD5碰撞漏洞。如果数据库中存在这种哈希值以“0e”开头的密码的话，就可以以这个用户的身份轻易地登录进去。

常见的MD5碰撞有：

例题：bugku-矛盾

打开网页，看到一段PHP代码：

$num=$_GET['num'];
if(!is_numeric($num))
{
      echo $num;
      if($num==1)
            echo 'flag{**********}';
}

代码首先用get方法读取一个变量num，为了使flag显示，需要运行代码“echo 'flag{**********}';”。此时需要两个if语句都成立，第一个if语句需要用is_numeric()判断变量是否是数字，是数字返回真。判断第二个if语句要用“==”判断变量是否等于1.要使得一个变量值等于1且不是数字，这真是件矛盾的事情，不过通过一个弱类型的变量就能解出来。

payload:?num=1abc

 例如：攻防世界-simple_php

打开题目，看到一段 PHP 代码。这段代码需要用 get 方法接收 2 个变量，其中第一个变量 a 需要判断是否为数字 0，而且直接判断 a 要为真，第二个变量 b 需要不是一个数字，并且数值大于 1234。

<?php 
show_source(__FILE__); 
include("config.php"); 
$a=@$_GET['a']; 
$b=@$_GET['b']; 
if($a==0 and $a){ 
    echo $flag1; 
} 
if(is_numeric($b)){ 
    exit(); 
} 
if($b>1234){ 
    echo $flag2; 
} 
?> 

很明显又是一个弱类型，此时可以根据需求构造payload，提交获得flag。

payload:?a=abc&b=1235a

 例题：bugku-十六进制与数字比较

题目的源码如下，需要传入一个字符串变量 password，返回 flag 的条件是 password 的值和 number 变量的值相等。但是在判断两个变量是否相等之前，代码要先遍历 password 字符串，如果字符串中的字符转换为 ASCII 在 0 ~ 9 之间就会返回错误。

<?php
error_reporting(0);

function noother_says_correct($temp)
{
    $flag = 'flag{test}';
    $one = ord('1');    //ord — 返回字符的 ASCII 码值
    $nine = ord('9');    //ord — 返回字符的 ASCII 码值
    $number = '3735929054';
    // Check all the input characters!
    for ($i = 0; $i < strlen($number); $i++)
    {
          // Disallow all the digits!
          $digit = ord($temp{$i});
          if ( ($digit >= $one) && ($digit <= $nine) )
          {
                // Aha, digit not allowed!
                return "flase";
          }
    }
       if($number == $temp)
             return $flag;
}

$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

注意到判断变量使用的是 “==”，这又是熟悉的弱类型，只要 password 的数值和 number 一样，可以使用其他进制来替换。因此传入的 password 应该是 “3735929054” 其他进制的表示，结合题意应该是十六进制(注意十六进制以 0x 开头)：

payload:?password=0xdeadc0de

例题：bugku-数组返回NULL绕过

题目的源码如下，首先注意到第一个分支语句使用了 ereg() 函数，该函数用于搜索一个字符串中指定的字符串。分析一下 ereg() 函数中的第一个参数，方括号表示字符集，匹配大小写字母和数字其中一个字符，^ 表示字符串开始，$ 表示字符串结束，+ 号表示重复 1 到多次，整个表达式表示匹配由多个数字大小字母组成的字符串。第二个分支中使用了 strpos() 函数，该函数用于查找字符串在另一字符串中第一次出现的位置（区分大小写）。因此传入的 password 应该满足以数字或者字母开头，且必须在 password 参数中找到 “--”。

<?php
$flag = "flag"; 

if (isset ($_GET['password'])) {
    if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
          echo 'You password must be alphanumeric';
    else if (strpos ($_GET['password'], '--') !== FALSE)
          die('Flag: ' . $flag);
    else
          echo 'Invalid password';
}
?>

不过聪明的做法是传个 “password[]” 数组进去，因为 ereg 和 strpos 函数都只能处理字符，传入数组是返回的是 NULL。三个等号的时候不会触发弱类型，所以 NULL 不等于 false 满足条件。构造出 payload 提交：

payload:?password[]=0

例题：bugku-urldecode二次编码绕过

题目的源码如下，首先题目需要输入变量 id，且变量 id 不能包含字符串 “hackerDJ”。接着使用 urldecode() 函数进行 url 解码，需要令解码后的字符串等于 “hackerDJ”。

<?php
if(eregi("hackerDJ",$_GET[id])) {
      echo("not allowed!");
      exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ"){
      echo "Access granted!";
      echo "flag";
}
?>

在 URL 编辑框中可以使用 URL-encode 来替代字符，例如 “h” 的 URL 编码是 “%68”，此时输入 “%68ackerDJ” 等同于输入 “hackerDJ”。由于源码会使用 urldecode() 函数进行 url 解码，因此可以对 “%68ackerDJ” 进行 url 编码，让传入的字符串通过第一个条件语句，在解码之后通过第二个分支语句。所以提交的 payload 应该是 “%68ackerDJ” 的 URL 编码。

?id = %2568ackerDJ

例题：bugku-md5()函数

题目的源码如下，首先注意到第一个分支语句，如果 username 和 password 2 个变量相等会导致无法获得 flag。但是第二个分支条件又要求 username 变量和 password 变量经过 md5() 函数加密的结果相同。

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
      if ($_GET['username'] == $_GET['password'])
            print 'Your password can not be your username.';
      else if (md5($_GET['username']) === md5($_GET['password']))
            die('Flag: '.$flag);
      else
            print 'Invalid password';
}
?>

注意此时遇到的是 “===” ，不过也不是代表无从下手。在 md5() 函数传入数组时会报错返回 NULL，当 2 个变量都导致报错返回 NULL 时就能使使得条件成立。构造出 payload 提交：

?username[]=1&password[]=0

例题：bugku-md5加密相等绕过

题目的源码如下，我们需要传入一个变量 “a”，这个变量 a 的要求是经过 md5 加密之后和 “QNKCDZO” 的加密结果相同。

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
      if ($a != 'QNKCDZO' && $md51 == $md52) {
            echo "flag{*}";
      } 
      else {
            echo "false!!!";
      }
}
else{echo "please input a";}
?>

“QNKCDZO” md5 加密结果为 “0E830400451993494058024219903391”，注意这是个 “0e” 开头的值，利用 “==” 判断相等时会被视为 0。因此现在需要传入的是另一个字符串，该字符串的 md5 加密后的字符串也是 0e 开头的即可。

payload:?a=s1885207154a