CTF之PHP黑魔法总结

php黑魔法,是以前做CTF时遇到并记录的,很适合在做CTF代码审计的时候翻翻看看。

一、要求变量原值不同但md5或sha1相同的情况下

1.0e开头的全部相等(==判断)

240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回了true.

Md5和sha1一样

<?php

$password=$_GET['password'];

if(strcmp('am0s',$password)){

echo 'false!';

}else{

echo 'success!';

}

?>

2.利用数组绕过(===判断)

Md5和sha1对一个数组进行加密将返回NULL;而NULL===NULL返回true,所以可绕过判断。

二、Strcmp利用数组绕过

查看php的手册

int strcmp ( string $str1 , string $str2 )

Return Values

Returns < 0 if str1 is less than str2; > 0 if str1 is greater than str2, and 0 if they are equal.

当输入的两个值为不是字符串时就会产生不预期的返回值:

比如

这样一段代码中,输入password[]=1则返回success,成功绕过验证

三、当有两个is_numeric判断并用and连接时,and后面的is_numeric可以绕过

$a=$_GET['a'];

$b=$_GET['b'];

$c=is_numeric($a) and is_numeric($b);

var_dump(is_numeric($a));

var_dump(is_numeric($b));

var_dump($c); //$b可以不是数字,同样返回true

$test=false and true;

var_dump($test); //返回true

四、NULL,0,”0″,array()使用==和false比较时,都是会返回true的

五、Eregi匹配

  • 数组绕过

ereg是处理字符串,传入数组之后,ereg是返回NULL

  • %00截断绕过

http://www.secbox.cn/hacker/1889.html

六、接收参数$a得存在,并且$a==0可用.绕过(非数字都可绕过)

测试代码:

<?php

$a=$_GET['a'];

if ($a==0) {

echo "1";

}

if ($a) {

echo "must";

}

七、接收参数中不能出现某一字符,但下面又必须使用可以php://伪协议绕过

目前遇到的是file_get_contents其他情况具体而定

八、is_numeric绕过

空格、\t、\n、\r、\v、\f、+、-能够出现在参数开头,“点”能够在参数任何位置,E、e只能出现在参数中间。

九、php5,3,29,这里可以直接用%0b绕过\s(空白字符)的匹配

十、既是0又是1的情况

$a==1&$test[$a]=t时

  • php精度(16以上)var_dump(9999999999999999999==1);//true
  • 科学计数法 .1e1 echo $b[‘.1e1’]//输出t

.是字符串所以在数组里面变成0,但在is_numeric中有点则正常输出为数字

十一、当switch没有break时可以继续往下执行

<?php

if (isset ( $_GET ['which'] )) {

$which = $_GET ['which'];

switch ($which) {

case 0 :

case 1 :

case 2 :

echo $which . '.php';

break;

default :

echo "1";

break;

}

}

$which进入循环时没有break则按顺序

原文发布于微信公众号 - php(phpdaily)

原文发表时间:2017-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Petrichor的专栏

python: reduce函数

python3 中,reduce()函数已经被从 全局名字空间 里移除了。 转而被放置到了 fucntools模块里 。

713
来自专栏柠檬先生

Angularjs基础(九)

AngularJS 应用 应用程序讲解     实例:         <html ng-app="myNoteApp">           <he...

1726
来自专栏H2Cloud

C++使用ffpython嵌入和扩展python

摘要: 在服务器编程中,经常会用到python脚本技术。Python是最流行的脚本之一,并且python拥有定义良好的C API接口,同时又有丰富的文档,与C+...

3244
来自专栏我的博客

php命名空间详解

1、命名空间概述 从广义上来说,命名空间是一种封装事物的方法。在很多地方都可以见到这种抽象概念。例如,在操作系统中目录用来将相关文件分组,对于目录中的文件来说,...

2828
来自专栏代码世界

Python之匿名函数

匿名函数 匿名函数:为了解决那些功能很简单的需求而设计的一句话函数。 #这段代码 def calc(n): return n**n print(calc...

3319
来自专栏破晓之歌

Promise 入门(推荐) 原

错误1:入栈出栈,前后两个函数不在同一个栈。异步回调的过程中没有办法是由try...catch

761
来自专栏程序员互动联盟

【编程基础】可执行程序各个数据段

进程(执行的程序)会占用一定数量的内存,它或是用来存放从磁盘载入的程序代码,或是存放取自用户输入的数据等等。不过进程对这些内存的管理方式因内存用途 不一而不尽相...

2765
来自专栏Jackie技术随笔

套接口编程简介

每个协议族都定义了自己的套接口地址结构,名字均以sockaddr_开头,对应协议族的标志结束。大部分套接口函数需要指向套接口地址结构的指针作为参数。

2148
来自专栏cnblogs

Javascript的内存泄漏分析

     作为程序员(更高大尚的称谓:研软件研发)的我们,无论是用Javascript,还是.net, java语言,肯定都遇到过内存泄漏的问题。只不过他们都有...

822
来自专栏向治洪

Android热补丁技术—dexposed原理简析(手机淘宝采用方案)

上篇文章《Android无线开发的几种常用技术》我们介绍了几种android移动应用开发中的常用技术,其中的热补丁正在被越来越多的开发团队所使用,它涉及到da...

2156

扫码关注云+社区