目录
一、关于md5()和sha1()的常见绕过
1、使用数组绕过
2、 使用特殊字符串绕过
二、strcmp绕过
三、switch绕过
四、intval绕过
文章开始前给大家分享一个学习人工智能的网站,通俗易懂,风趣幽默
人工智能https://www.captainbed.cn/myon/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 正文开始 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一、关于md5()和sha1()的常见绕过
知识介绍:
1、对于php强比较和弱比较:md5(),sha1()函数无法处理数组,如果传入的为数组,会返回NULL,两个数组经过加密后得到的都是NULL,也就是相等的。
2、对于某些特殊的字符串加密后得到的密文以0e开头,PHP会当作科学计数法来处理,也就是0的n次方,得到的值比较的时候都相同。
下面是常见的加密后密文以0e开头的字符串:
md5:
240610708:0e462097431906509019562988736854
QLTHNDT:0e405967825401955372549139051580
QNKCDZO:0e830400451993494058024219903391
PJNPDWY:0e291529052894702774557631701704
NWWKITQ:0e763082070976038347657360817689
NOOPCJF:0e818888003657176127862245791911
MMHUWUV:0e701732711630150438129209816536
MAUXXQC:0e478478466848439040434801845361
sha1:
10932435112: 0e07766915004133176347055865026311692244
aaroZmOk: 0e66507019969427134894567494305185566735
aaK1STfY: 0e76658526655756207688271159624026011393
aaO8zKZF: 0e89257456677279068558073954252716165668
aa3OFF9m: 0e36977786278517984959260394024281014729
0e1290633704: 0e19985187802402577070739524195726831799常见题目:
要求传入两个参数不相等但是经过md5加密后需要相等
这种题有两种方法绕过:
1、使用数组绕过
传入两个不同的数组,经md5加密后结果都是null,比较则相等
2、 使用特殊字符串绕过
随便选取两个加密后是以0e开头的字符串传入即可
有时候题目还会进一步的进行限制,比如限制不能都传数组,那么我们就可以适当选择使用特殊字符串来进行绕过:
若都传数组:
将其中一组改为特殊字符串:
二、strcmp绕过
知识介绍:
strcmp是比较两个字符串,如果str1<str2 则返回<0 ,如果str1大于str2则返回>0 ,如果两者相等则返回0。
strcmp比较的是字符串类型,如果强行传入其他类型参数,会出错,出错后返回值0,正是利用这点进行绕过。
这里我们传入非字符串类型,比如数组:
三、switch绕过
晃眼一看是不是觉得传入参数大于10就行
当然不是,这里我们要传入param1=0
我想你也好奇为什么是0吧?
看两个例子:
<?php
$a = 0;
switch ($a) {
case $a <= 10:
echo '小于10';
break;
case $a <= 20:
echo '小于20';
break;
case $a <= 30:
echo '小于30';
break;
default:
echo '大于30';
break;
}
本来以为输出结果是:小于10
实际输出是:大于30
再看另一个例子:
<?php
$a = 0;
switch ($a) {
case $a <= 10:
echo '小于10';
break;
case $a > 20:
echo '大于20';
break;
default:
echo '大于30';
break;
}
输出结果:大于20
第一个例子是a=0,a<=10是满足的所以该表达式的值是true,然后判断0==true吗?不是,继续下一个case一直到最后一个case都不相等,所以就走default。
第二个例子是a=0,a<=10是满足的所以代码会判断0==true吗?不是,继续下一个case,$a>20不满足所以是false,然后0==false,成立,故输出‘大于20’。
至此你也很容易理解这道题为什么传0就会输出flag了
四、intval绕过
intval() 函数用于获取变量的整数值
echo intval(53); // 53
echo intval(5.3); // 5
当过滤5的时候,我们可以输入5.3来绕过
用法:int intval( var,base)
var是要转换成 integer 的数量值,base指转化所使用的进制
如果 base 是 0,通过检测 var 的格式来决定使用的进制;
如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);
如果字符串以 "0" 开始,使用 8 进制(octal);
否则使用 10 进制 (decimal)。
我们可以利用它的进制转换来实现绕过。
成功时返回 var 的 integer 值,失败时返回 0;空的 array 返回 0,非空的 array 返回 1。
如果是一个弱比较a==b,我们传入a[]=1和b[]=2,
此时这两个是不同的,但都会返回1,也可用于绕过。
关于intval这个函数存在一个漏洞:
echo intval(1e10); // 1410065408
echo intval('1e10'); // 1
单引号传值的时候,它只识别字母前面的一部分,当我们进行get传参时,其实就是默认加单引号的,在PHP中,+号会被判定成把他强制转换成科学计数法进行计算,而不是一个字符串+1。文章来源:https://www.toymoban.com/news/detail-722481.html
文章来源地址https://www.toymoban.com/news/detail-722481.html
到了这里,关于PHP特性之CTF中常见的PHP绕过的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[CTF/网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)](https://imgs.yssmx.com/Uploads/2024/02/715849-1.png)
