PHP特性:CTF常见的PHP绕过

目录

一、关于md5()和sha1()的常见绕过

1、使用数组绕过

2、 使用特殊字符串绕过

二、strcmp绕过

三、switch绕过

四、intval绕过

---

一、关于md5()和sha1()的常见绕过

知识介绍：

1、对于php强比较和弱比较：md5()，sha1()函数无法处理数组，如果传入的为数组，会返回NULL，两个数组经过加密后得到的都是NULL，也就是相等的。

2、对于某些特殊的字符串加密后得到的密文以0e开头，PHP会当作科学计数法来处理，也就是0的n次方，得到的值比较的时候都相同。

下面是常见的加密后密文以0e开头的字符串：

1.  
   md5：
2.  
    
3.  
   240610708:0e462097431906509019562988736854
4.  
   QLTHNDT:0e405967825401955372549139051580
5.  
   QNKCDZO:0e830400451993494058024219903391
6.  
   PJNPDWY:0e291529052894702774557631701704
7.  
   NWWKITQ:0e763082070976038347657360817689
8.  
   NOOPCJF:0e818888003657176127862245791911
9.  
   MMHUWUV:0e701732711630150438129209816536
10.  
    MAUXXQC:0e478478466848439040434801845361
11.  
     
12.  
     
13.  
    sha1：
14.  
     
15.  
    10932435112: 0e07766915004133176347055865026311692244
16.  
    aaroZmOk: 0e66507019969427134894567494305185566735
17.  
    aaK1STfY: 0e76658526655756207688271159624026011393
18.  
    aaO8zKZF: 0e89257456677279068558073954252716165668
19.  
    aa3OFF9m: 0e36977786278517984959260394024281014729
20.  
    0e1290633704: 0e19985187802402577070739524195726831799

常见题目：

要求传入两个参数不相等但是经过md5加密后需要相等

 这种题有两种方法绕过：

1、使用数组绕过

传入两个不同的数组，经md5加密后结果都是null，比较则相等

2、 使用特殊字符串绕过

随便选取两个加密后是以0e开头的字符串传入即可

有时候题目还会进一步的进行限制，比如限制不能都传数组，那么我们就可以适当选择使用特殊字符串来进行绕过：

若都传数组：  

 将其中一组改为特殊字符串：

二、strcmp绕过

知识介绍：

strcmp是比较两个字符串，如果str1<str2 则返回<0 ，如果str1大于str2则返回>0 ，如果两者相等则返回0。

strcmp比较的是字符串类型，如果强行传入其他类型参数，会出错，出错后返回值0，正是利用这点进行绕过。

这里我们传入非字符串类型，比如数组：

三、switch绕过

晃眼一看是不是觉得传入参数大于10就行

当然不是，这里我们要传入param1=0

我想你也好奇为什么是0吧？
看两个例子：

1.  
   <?php
2.  
   $a = 0;
3.  
   switch ($a) {
4.  
   case $a <= 10:
5.  
   echo '小于10';
6.  
   break;
7.  
    
8.  
   case $a <= 20:
9.  
   echo '小于20';
10.  
    break;
11.  
     
12.  
    case $a <= 30:
13.  
    echo '小于30';
14.  
    break;
15.  
     
16.  
    default:
17.  
    echo '大于30';
18.  
    break;
19.  
    }

本来以为输出结果是：小于10
实际输出是：大于30

再看另一个例子：

1.  
   <?php
2.  
   $a = 0;
3.  
   switch ($a) {
4.  
   case $a <= 10:
5.  
   echo '小于10';
6.  
   break;
7.  
    
8.  
   case $a > 20:
9.  
   echo '大于20';
10.  
    break;
11.  
     
12.  
    default:
13.  
    echo '大于30';
14.  
    break;
15.  
    }

输出结果：大于20

第一个例子是a=0，a<=10是满足的所以该表达式的值是true，然后判断0==true吗？不是，继续下一个case一直到最后一个case都不相等，所以就走default。

第二个例子是a=0，a<=10是满足的所以代码会判断0==true吗？不是，继续下一个case，$a>20不满足所以是false，然后0==false，成立，故输出‘大于20’。

至此你也很容易理解这道题为什么传0就会输出flag了

四、intval绕过

intval() 函数用于获取变量的整数值

1.  
   echo intval(53); // 53
2.  
   echo intval(5.3); // 5

当过滤5的时候，我们可以输入5.3来绕过

用法：int intval( var,base)

var是要转换成 integer 的数量值,base指转化所使用的进制 
如果 base 是 0，通过检测 var 的格式来决定使用的进制；
如果字符串包括了 "0x" (或 "0X") 的前缀，使用 16 进制 (hex)；
如果字符串以 "0" 开始，使用 8 进制(octal)；
否则使用 10 进制 (decimal)。 
我们可以利用它的进制转换来实现绕过。

成功时返回 var 的 integer 值，失败时返回 0；空的 array 返回 0，非空的 array 返回 1。

如果是一个弱比较a==b，我们传入a[]=1和b[]=2，

此时这两个是不同的，但都会返回1，也可用于绕过。

关于intval这个函数存在一个漏洞：

1.  
   echo intval(1e10); // 1410065408
2.  
   echo intval('1e10'); // 1

单引号传值的时候，它只识别字母前面的一部分，当我们进行get传参时，其实就是默认加单引号的，在PHP中， 号会被判定成把他强制转换成科学计数法进行计算，而不是一个字符串 1。

这篇好文章是转载于：学新通技术网