php 弱类型问题

php 是一门简单而强大的语言，提供了很多 Web 适用的语言特性，其中就包括了变量弱类型，在弱类型机制下，你能够给一个变量赋任意类型的值。

php 的 8 种变量类型

标准类型：布尔 boolen，整型 integer，浮点 float，字符 string

复杂类型：数组 array，对象 object

特殊类型：资源 resource

但由于 php 在定义变量时并不需要像 C++ 语言那样去定义其变量类型，因此在一些 CTF web 题目中，经常会碰到一些源码是 php 的题目，我们可以通过分析代码，结合 php 弱类型问题去尝试绕过。比如：

下面是C++的：

int i = 100;

下面是PHP的：

$i = 100;

操作之相等比较：== 与 ===

在进行相等比较时：

== 会先把两个变量的类型变成相同后再比较，而 === 会先判断两个变量的类型是否相同，再去比较。( php 有个内置函数 gettype 可以查看变量类型，settype 可以设置变量类型)

如果比较一个 int 型（数字）$a 和一个字符串 $b，如果 $b 是以数字开头，如: $a = "1", $b = "1admin" ，那么判断时就会把 $b 当做 1 去和 $a 比较； 如果 $b 不是以数字开头，如 $a = "1", $b = "admin1" ，那么就会把 $b 当做 0 去和 $a 比较。

可以看下面的代码示例：

函数之 empty 和 isset

• 1）变量为：0，"0", null, '', false,array() 时，使用 empty 函数，返回的都为 true
• 2）变量未定义或者为 null 时，isset 函数返回的为 false ,其他都为 true

函数之 md5

部分字符串由于使用 md5 加密后会变成 0e 开头的字符串，然后使用 == 判断时就容易绕过

题目大意是要输入一个字符串和数字类型，并且他们的 md5 值相等，就可以成功执行下一步语句。

那么可以通过一批已公开的 md5 开头是 0e 的字符串去绕过,下面给大家列一些可以用的 md5 值：

QNKCDZO 0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e848240448830537924465865611904 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s1885207154a 0e509367213418206700842008763514

纯数字类：

240610708 0e462097431906509019562988736854 314282422 0e990995504821699494520356953734 571579406 0e972379832854295224118025748221 903251147 0e174510503823932942361353209384 1110242161 0e435874558488625891324861198103 1320830526 0e912095958985483346995414060832 1586264293 0e622743671155995737639662718498 2302756269 0e250566888497473798724426794462 2427435592 0e067696952328669732475498472343 2653531602 0e877487522341544758028810610885 3293867441 0e471001201303602543921144570260 3295421201 0e703870333002232681239618856220 3465814713 0e258631645650999664521705537122 3524854780 0e507419062489887827087815735195 3908336290 0e807624498959190415881248245271 4011627063 0e485805687034439905938362701775 4775635065 0e998212089946640967599450361168 4790555361 0e643442214660994430134492464512 5432453531 0e512318699085881630861890526097 5579679820 0e877622011730221803461740184915 5585393579 0e664357355382305805992765337023 6376552501 0e165886706997482187870215578015 7124129977 0e500007361044747804682122060876 7197546197 0e915188576072469101457315675502 7656486157 0e451569119711843337267091732412

纯字母类:

QLTHNDT 0e405967825401955372549139051580 QNKCDZO 0e830400451993494058024219903391 EEIZDOI 0e782601363539291779881938479162 TUFEPMC 0e839407194569345277863905212547 UTIPEZQ 0e382098788231234954670291303879 UYXFLOI 0e552539585246568817348686838809 IHKFRNS 0e256160682445802696926137988570 PJNPDWY 0e291529052894702774557631701704 ABJIHVY 0e755264355178451322893275696586 DQWRASX 0e742373665639232907775599582643 DYAXWCA 0e424759758842488633464374063001 GEGHBXL 0e248776895502908863709684713578 GGHMVOE 0e362766013028313274586933780773 GZECLQZ 0e537612333747236407713628225676 NWWKITQ 0e763082070976038347657360817689 NOOPCJF 0e818888003657176127862245791911 MAUXXQC 0e478478466848439040434801845361 MMHUWUV 0e701732711630150438129209816536

PHP手册中的 md5() 函数的描述是 string md5 ( string \$str [, bool $raw_output = false ] ) ，md5() 中需要的是一个 string 类型的参数。但是当你传递一个 array 时，md5() 不会报错，只是会无法正确地求出 array 的 md5 值，这样就会导致任意 2 个 array 的 md5 值都会相等。

函数之 strcmp 漏洞绕过（ php -v < 5.3 ）

strcmp 是比较两个字符串，如果 str1 < str2 则返回 <0 如果 str1 大于 str2 返回 >0 如果两者相等则返回 0

我们是不知道 $password 的值的，题目要求 strcmp 判断的接受的值和 $password 必需相等，strcmp 传入的期望类型是字符串类型，如果传入的是个数组会怎么样呢

我们传入 password[]=xxx 可以绕过,是因为函数接受到了不符合的类型，将发生错误，但是还是判断其相等

payload: password[]=xxx

函数之 in_array() 和 array_search()

在 PHP 手册中，in_array() 函数的解释是 bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ,如果 strict 参数没有提供，那么 in_array 就会使用松散比较来判断 $needle 是否在 $haystack 中。当 strince 的值为 true 时，in_array() 会比较 needls 的类型和 haystack 中的类型是否相同。

array_search() 函数在数组中搜索某个键值，并返回对应的键名。官方手册对 array_search 的介绍: mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] ) 其中 $needle，$haystack 必需，$strict 可选 函数判断 $haystack 中的值是存在 $needle，存在则返回该值的键值第三个参数默认为 false ，如果设置为 true 则会进行严格过滤

函数之 switch 问题

如果 switch 是数字类型的 case 的判断时，switch 会将参数转换为 int 类型。

总结

上面所述的 php 弱类型可能只是一部分，在打 CTF 过程中，可能更多，但问题都在于对函数的使用不够规范，对变量的类型没有完全校验（可使用内置的 settype, gettype 函数多校验或者规范），这是强大的 php 语言引起的“不足”问题，而在企业使用 php 开发中一般不会涉及到这方面的漏洞问题，通常可能仅仅是判断不充分而导致的逻辑问题，希望大家可以共同补充探讨。

参考：

php 弱类型总结:

http://www.cnblogs.com/Mrsm1th/p/6745532.html

0e开头MD5 python生成脚本 PHP哈希弱类型:

http://blog.csdn.net/kalbertlee/article/details/70213392