php常见绕过

发表于: 分类于:
字数: 627 阅读:≈ 2分钟 浏览:

0e绕过弱比较

  1. 对于某些特殊的字符串加密后得到的密文以0e开头,PHP会当作科学计数法来处理,也就是0的n次方,得到的值比较的时候都相同:
<?php
$a=$_GET['a'];
$b=$_GET['b'];
if ($a!==$b && md5($a)==md5($b)){
    return "hahaha";
}

md5:
240610708:0e462097431906509019562988736854
QLTHNDT:0e405967825401955372549139051580
QNKCDZO:0e830400451993494058024219903391
PJNPDWY:0e291529052894702774557631701704
NWWKITQ:0e763082070976038347657360817689
NOOPCJF:0e818888003657176127862245791911
MMHUWUV:0e701732711630150438129209816536
MAUXXQC:0e478478466848439040434801845361

sha1:
10932435112: 0e07766915004133176347055865026311692244
aaroZmOk: 0e66507019969427134894567494305185566735
aaK1STfY: 0e76658526655756207688271159624026011393
aaO8zKZF: 0e89257456677279068558073954252716165668
aa3OFF9m: 0e36977786278517984959260394024281014729
0e1290633704: 0e19985187802402577070739524195726831799
  1. 双重md5下的0e绕过,以下字符串进行两次md5后以0e开头
7r4lGXCH2Ksu2JNT3BYM
CbDLytmyGm2xQyaLNhWn
770hQgrBOjrcqftrlaZk
  1. $a==md5($a) 0e215962017 的 MD5 值也是由 0e 开头,在 PHP 弱类型比较中相等

数组绕过

对于php强比较和弱比较:md5(),sha1()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。

<?php
$a=$_GET['a'];
$b=$_GET['b'];
if ($a!==$b && md5($a)===md5($b)){
    return "hahaha";
}

使用: ?a[]=1&b[]=2

strcmp绕过

strcmp是比较两个字符串,如果str1<str2 则返回<0 ,如果str1大于str2则返回>0 ,如果两者相等则返回0。

strcmp比较的是字符串类型,如果强行传入其他类型参数,会出错,出错后返回值0,正是利用这点进行绕过。

这里我们传入非字符串类型,比如数组:?a[]=1

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);
else
print 'No';
}
?>

is_numeric绕过 

$j = $_POST[j];
is_numeric($j)?die("<br/>not is numeric <br/>fail 10"):NULL; 
if($j > 1314){
echo "<br/>pass 10";}

方法一

  • 利用数组+十六进制来进行绕过,j[]=58B

方法二

  • 利用%20或者%00 j=1315%20 j=1315%00

方法三

php中当一个其他数据类型和数值类型的数据比较大小时,会先将其他数据类型转换成数值类型,这里输入类似9999a数据也可绕过,j=9999a