PHP弱类型漏洞学习

简介

PHP在使用双等号(==)判断的时候，不会严格检验传入的变量类型,同时在执行过程中可以将变量自由地进行转换类型。由于弱数据类型的特点，在使用双等号和一些函数时，会造成一定的安全隐患

eg:

<?php
    var_dump("admin"==0);  //true
    var_dump("1admin"==1); //true
    var_dump("admin1"==1); //false
    var_dump("admin1"==0); //true
    var_dump("0e123456"=="0e4456789"); //true
?>

== 在进行比较的时候，会先将字符串类型转化成相同，再比较

=== 在进行比较的时候，会先判断两种字符串的类型是否相等，再比较

Hash比较缺陷

研发人员在对比Hash²字符串的时候常常用到等于、不等于(!=)进行比较。如果Hash值以0e开头，后面都是数字，当与数字进行比较时，就会被解析成0x10ⁿ,会被判与0相等，攻击者可以绕过某些系统逻辑

PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以”0E”开头的，那么PHP将会认为他们相同，都是0。

攻击者可以利用这一漏洞，通过输入一个经过哈希后以”0E”开头的字符串，即会被PHP解释为0，如果数据库中存在这种哈希值以”0E”开头的密码的话，他就可以以这个用户的身份登录进去，尽管并没有真正的密码。

<?php
var_dump("0e123456789012345678901234567890"==="0"); //false
var_dump("0e123456789012345678901234567890"=="0"); //true
?>

加密后为0E的字符

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s1885207154a
0e509367213418206700842008763514

s1502113478a
0e861580163291561247404381396064

s1885207154a
0e509367213418206700842008763514

s1836677006a
0e481036490867661113260034900752

s155964671a
0e342768416822451524974117254469

s1184209335a
0e072485820392773389523109082030

s1665632922a
0e731198061491163073197128363787

s1502113478a
0e861580163291561247404381396064

s1836677006a
0e481036490867661113260034900752

s1091221200a
0e940624217856561557816327384675

s155964671a
0e342768416822451524974117254469

s1502113478a
0e861580163291561247404381396064

s155964671a
0e342768416822451524974117254469

s1665632922a
0e731198061491163073197128363787

s155964671a
0e342768416822451524974117254469

CTF例题

<?php
   $pass=$_GET['password'];
   $password='0e342768416822451524974117254469';

   if (md5($pass)==$password) {
       echo "flag{xx-xx-xxxx-xiaohua}";
   }else{
        echo "error";
   }

?>

payload:

http://127.0.0.1/index.php?password=s1885207154a

预防方案 :

PHP5.6以上使用hash_equals()函数比较Hash值，可以避免对比恶意绕过

低于5.6可用可以实现的函数解决

参考学习:https://www.freebuf.com/news/67007.html

bool比较缺陷

在使用json_decode()函数或使用unserialize()函数时，部分结构被解释成bool类型，也会造成缺陷。

json_decode漏洞代码:

<?php
$str='{"user":true,"pass":true}';
$data=json_decode($str,true);

if($data['user']=='root' && $data['pass']=='myPass'){
    print_r('登陆成功 获得flag{xx-ssss-xiaohua}');
}else{
    print_r('登陆失败！');
}

unserialize漏洞代码:

<?php
$str='a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';
$data=unserialize($str);

if($data['user']=='root' && $data['pass']=='myPass'){
    print_r('登陆成功 获得flag{xx-ssss-xiaohua}');
}else{
    print_r('登陆失败！');
}
?>

避免bool比较可以使用三个等号作比较即可。

数字转换比较缺陷

当赋值给PHP变量的整型超过PHP的最大值PHP_INT_MAX时，PHP将无法计算出正确的结果，攻击者可能会利用其跳过某些校验逻辑，如密码校验、账号充值校验等

<?php
$a=98869694308861098395599991222222222222;
$b=98869694308861098395599992999999999999;

var_dump($a===$b);

?>

再实际的业务逻辑中，一定要对最大值进行限制，避免数据越界而导致错误的执行结果。

switch比较缺陷

当再switch中使用case判断数字时，switch会将其中的参数转换为int类型进行计算

<?php
$num='2xiaohua';
switch($num){
    case 0:echo '000000';
    break;
    case 1:echo '1111';
    break;
    case 2:echo '2222222';
    break;
    case 3:echo '333333';
}

?>

　　

最终输出2222

数组比较缺陷

当使用in_array()或array_search()函数时，如果$strict参数吗有设置为true，则in_array()或array_search()将使用松散来判断$needle是否存在$haystack中

bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )//strict默认为false
miixed  array_search( mixed $needle , array $haystack [, bool $strict = FALSE ] )//strict默认为false

漏洞代码:

<?php
    $array=[0,1,2,'3'];
    var_dump(in_array('abc',$array));
    var_dump(array_search('abc',$array));

?>

2222

参考学习:《php安全之道》