你真的会PHP吗？

Note:

1) PHP中的数据类型

PHP一共支持八种数据类型，

4种标量类型，boolean(布尔型)，integer（整形），float/double（浮点型）和string（字符串类型），

2种复合类型，array（数组），和object（对象），

2种特殊类型，resource（资源）与null.

2)  intval()函数所引发的溢出

Intval()函数最大的值取决于操作系统位数，

32 位系统最大带符号的 integer 范围是 -2147483648 ～～ 2147483647，

64 位系统上，最大带符号的 integer 值是 -92233720368547758078 ～～ 92233720368547758077

当超过相应的最大值时会发生溢出（如：32为系统：2147483648时会溢出为2147483647）

利用：判断数值上是回文，字符本身不是回文

@ 如果参数为2147483647，那么当它反过来时，由于超出限制，所以依然等于2147483647，即为数值上回文

@ 其它方法判断（科学计数法）如果参数为0e-0，那么当它反过来时，数值上还是0，即为数值上回文

3）is_numeric()函数所引发的SQL注入以及其它问题

is_numeric()函数判断参数是否是数值型数据（常见：十进制，十六进制）

@ is_numeric()函数对于空字符%00，无论%00放在前后都可以判断为非数值，而%20空格字符只能放在数值      后，当%20放在数值前时，函数会对数值前面的空格字符进行跳过，接着后面的判断

@ SQL注入

简单例子

$s = is_numeric($_GET['s'])?$_GET['s']:0;

$sql="insert into test(type)values($s);";     //是 values($s) 不是values('$s')，后者将会解析成字符串不变

当参数为0x31206f722031转化为ASCII时为 1 or 1(特殊SQL关键字)

将该参数插入数据库之后，如果再重新查询这个表的字段出来，不做过滤带入另一个SQL语句，将会造成2        次注入.

PHP代码中尽量不要使用该函数，如果要使用这个函数，建议使用规范的sql语句,条件加入单引号，这样16进制0x31206f722031就会在数据库里显示出来，而不会出现1 or 1

Link : http://ctf5.shiyanbar.com/web/PHP/index.php 

考点  ：PHP源码审计

进去之后发现就一句话，没什么用，抓包发现返回的数据包头部有一个文本文档，访问之后是一段PHP代码

<?php

$info = "";
$req = [];
$flag="xxxxxxxxxx";

ini_set("display_error", false);
error_reporting(0); 

if(!isset($_POST['number'])){
   header("hint:6c525af4059b4fe7d8c33a.txt");

   die("have a fun!!");
}

foreach([$_POST] as $global_var) {
    foreach($global_var as $key => $value) {
        $value = trim($value);  //trim() 函数移除字符串两侧的空白字符或其他预定义字符
        is_string($value) && $req[$key] = addslashes($value); //addslashes() 函数在指定的预定义字符前添加反斜杠。这些字符是单引号（'）、双引号（"）、反斜线（\）与NUL（NULL字符）
} 

function is_palindrome_number($number) { //回文函数
    $number = strval($number);   //将数组及类之外的变量类型转换成字符串类型
    $i = 0;
    $j = strlen($number) - 1;
    while($i < $j) {
        if($number[$i] !== $number[$j]) {
            return false;
        }
        $i++;
        $j--;
    }
    return true;
} 

if(is_numeric($_REQUEST['number'])){   //判断传入的参数是否是数值

   $info="sorry, you cann't input a number!";

}elseif($req['number']!=strval(intval($req['number']))){

     $info = "number must be equal to it's integer!! ";  

}else{

     $value1 = intval($req["number"]);           //intval()函数将字符串转化为数值
     $value2 = intval(strrev($req["number"]));   //strrev()函数反转字符串

     if($value1!=$value2){
          $info="no, this is not a palindrome number!";
     }else{

          if(is_palindrome_number($req["number"])){
              $info = "nice! {$value1} is a palindrome number!";
          }else{
             $info=$flag;
          }
     }

}

echo $info;

?>

PHP代码审计之后，最后打印flag需要$_POST['number']满足以下条件:

1) 不能为空，且不能传递数值型数据

2）该数所反转的整数值应该和它本身的整数值相等

$value1 = intval($req["number"]);           //intval()函数将字符串转化为数值
$value2 = intval(strrev($req["number"]));   //strrev()函数反转字符串
$value1=$value2

3) 不能是一个回文数

构造$_POST['number']使其满足条件

不能传递回文数据，又让该数所反转的整数值应该和它本身的整数值相等，前后矛盾，

但可以利用intval()函数溢出进行解决问题，$_POST['number']=%002147483647（通过返回的数据包可知是32的操作系统）即可，intval(strrev(2147483647))发生溢出等于2147483647，即$value1=$value2=2147483647

另一种方法，利用科学计数法进行解决问题，$_POST['number']=%000e-0即可，即$value1=$value2=0