最近CTF比賽，不止一次的出了php弱類型的題目，借此想總結一下關于php弱類型以及繞過方式

php中有兩種比較的符號 == 與 ===

1 ?php2 $a = $b ;3 $a===$b ;4 ? 

=== 在進行比較的時候，會先判斷兩種字符串的類型是否相等，再比較

== 在進行比較的時候，會先將字符串類型轉化成相同，再比較

如果比較一個數字和字符串或者比較涉及到數字內容的字符串，則字符串會被轉換成數值并且比較按照數值來進行

這里明確了說如果一個數值和字符串進行比較的時候，會將html' target='_blank'>字符串轉換成數值

1 ?php2 var_dump( admin ==0); //true3 var_dump( 1admin ==1); //true4 var_dump( admin1 ==1) //false5 var_dump( admin1 ==0) //true6 var_dump( 0e123456 == 0e4456789 //true 7 ? //上述代碼可自行測試

1 觀察上述代碼， admin ==0 比較的時候，會將admin轉化成數值，強制轉化,由于admin是字符串，轉化的結果是0自然和0相等
2 1admin ==1 比較的時候會將1admin轉化成數值,結果為1，而“admin1“==1 卻等于錯誤，也就是 admin1 被轉化成了0,為什么呢？？3 0e123456 == 0e456789 相互比較的時候，會將0e這類字符串識別為科學技術法的數字，0的無論多少次方都是零，所以相等

對于上述的問題我查了php手冊

當一個字符串欸當作一個數值來取值，其結果和類型如下:如果該字符串沒有包含 . , e , E 并且其數值值在整形的范圍之內
該字符串被當作int來取值，其他所有情況下都被作為float來取值，該字符串的開始部分決定了它的值，如果該字符串以合法的數值開始，則使用該數值，否則其值為0。

1 ?php2 $test=1 + 10.5 // $test=11.5(float)3 $test=1+ -1.3e3 //$test=-1299(float)4 $test=1+ bob-1.3e3 //$test=1(int)5 $test=1+ 2admin //$test=3(int)6 $test=1+ admin2 //$test=1(int)7 ? 

所以就解釋了 admin1 ==1 = False 的原因

md5繞過(Hash比較缺陷)

 1 ?php 2 if (isset($_GET[ Username ]) isset($_GET[ password ])) { 3 $logined = true; 4 $Username = $_GET[ Username  5 $password = $_GET[ password  7 if (!ctype_alpha($Username)) {$logined = false;} 8 if (!is_numeric($password) ) {$logined = false;} 9 if (md5($Username) != md5($password)) {$logined = false;}10 if ($logined){11 echo successful 12 }else{13 echo login failed! 16 ? 

題目大意是要輸入一個字符串和數字類型，并且他們的md5值相等，就可以成功執行下一步語句

介紹一批md5開頭是0e的字符串 上文提到過，0e在比較的時候會將其視作為科學計數法，所以無論0e后面是什么，0的多少次方還是0。md5( 240610708 ) == md5( QNKCDZO )成功繞過!

QNKCDZO0e830400451993494058024219903391s878926199a0e545993274517709034328855841020s155964671a0e342768416822451524974117254469s214587387a0e848240448830537924465865611904s214587387a0e848240448830537924465865611904s878926199a0e545993274517709034328855841020s1091221200a0e940624217856561557816327384675s1885207154a0e509367213418206700842008763514

json繞過

 ?phpif (isset($_POST[ message ])) { $message = json_decode($_POST[ message  $key = *********  if ($message- key == $key) { echo flag  else { echo fail  else{ echo ~~~~ ? 

輸入一個json類型的字符串，json_decode函數解密成一個數組，判斷數組中key的值是否等于 $key的值，但是$key的值我們不知道，但是可以利用0== admin 這種形式繞過

最終payload message={ key :0}

array_search is_array繞過

 1 ?php 2 if(!is_array($_GET[ test ])){exit();} 3 $test=$_GET[ test  4 for($i=0;$i count($test);$i++){ 5 if($test[$i]=== admin ){ 6 echo error  7 exit(); 9 $test[$i]=intval($test[$i]);11 if(array_search( admin ,$test)===0){12 echo flag 14 else{15 echo false 17 ? 

上面是自己寫的一個，先判斷傳入的是不是數組，然后循環遍歷數組中的每個值，并且數組中的每個值不能和admin相等，并且將每個值轉化為int類型，再判斷傳入的數組是否有admin，有則返回flag

payload test[]=0可以繞過

下面是官方手冊對array_search的介紹

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle，$haystack必需，$strict可選 函數判斷$haystack中的值是存在$needle，存在則返回該值的鍵值 第三個參數默認為false，如果設置為true則會進行嚴格過濾

1 ?php2 $a=array(0,1);3 var_dump(array_search( admin ,$a)); // int(0) = 返回鍵值04 var_dump(array_seach( 1admin ,$a)); // int(1) == 返回鍵值15 ? 

array_search函數 類似于== 也就是$a== admin 當然是$a=0 當然如果第三個參數為true則就不能繞過

strcmp漏洞繞過 php -v 5.3

 1 ?php 2 $password= ***************  3 if(isset($_POST[ password ])){ 5 if (strcmp($_POST[ password ], $password) == 0) { 6 echo Right!!!login success n 7 exit(); 8 } else { 9 echo Wrong password.. 11 ? 

strcmp是比較兩個字符串，如果str1 str2 則返回 0 如果str1大于str2返回 0 如果兩者相等 返回0

我們是不知道$password的值的，題目要求strcmp判斷的接受的值和$password必需相等，strcmp傳入的期望類型是字符串類型，如果傳入的是個數組會怎么樣呢

我們傳入 password[]=xxx 可以繞過 是因為函數接受到了不符合的類型，將發生錯誤，但是還是判斷其相等

payload: password[]=xxx

switch繞過

 1 ?php 2 $a= 4admin  3 switch ($a) { 4 case 1: 5 echo fail1  6 break; 7 case 2: 8 echo fail2  9 break;10 case 3:11 echo fail3 12 break;13 case 4:14 echo sucess //結果輸出success;15 break;16 default:17 echo failall 18 break;20 ? 

這種原理和前面的類似，就不詳細解釋了

這些php弱類型只是冰山一角 上述驗證了代碼審計的重要性

相關推薦：

PHP中關鍵字var的用法示例

php隊列處理：php消息隊列實現原理（圖文）

以上就是對php中弱類型轉換的實現的詳細內容，PHP教程

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。