php函数漏洞原理解析（php文件解析漏洞）

php函数漏洞原理解析（php文件解析漏洞）

PHP是世界上最好的语言，是的，php在世界上养活了两类人，一类是编写php代码的人，一类是从事安全×××的这类人，因为在php中存在着有漏洞的函数。在一定条件作用下，这些函数没有按着函数发明者的意愿去解析。在ctf的web世界中也算待了几个月了，对学习当中的遇到的有问题的函数略做一下总结。

md5()函数

定义：Md5()函数计算字符串的MD5散列

问题1：经过MD5（）函数处理的字符串散列如果出现0e开头的，在被php处理的时候会被认为等于0。源码：

原理分析：md5（string,raw）语法:string必须，规定要计算的字符串，raw可选，规定输出格式，TRUE-16字符二进制格式；false-默认，32字符十六进制数。函数作者规定处理的字符串类型为str字符串型，才能正常输出。传递数组无法处理。造成输出结果为null

问题3：造成sql注入漏洞

***扩展同类函数：sha1()函数。具体用法相同。其哈希值0e开头的有，sha1('aaroZmOk') sha1('aaK1STfY') sha1('aaO8zKZF') sha1('aa3OFF9m')

ereg()函数

定义：正则表达式匹配

实现原理：因为返回为null，null != FALSE，所以匹配正确

intval()函数

定义用法; 获取变量的整数值，允许以使用特定的进制返回。默认10进制 注:如果参数为整数，则不做任何处理。

unset()函数

定义用法：unset() 销毁指定的变量。

存在问题：可能销毁原有定义的变量，进行绕过

源码：

$abc['a'] = true; foreach(array('_GET','_POST') as $method) { foreach($$method as $key=>$value) { unset($$key); } } if ($abc['a'] == false) { echo 'flag {123}'; } ?>

extract()函数

定义用法： extract() 函数从数组中将变量导入到当前的符号表。 该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。 EXTR_OVERWRITE - 默认。如果有冲突，则覆盖已有的变量。 EXTR_SKIP - 如果有冲突，不覆盖已有的变量。 EXTR_PREFIX_SAME - 如果有冲突，在变量名前加上前缀 prefix。 EXTR_PREFIX_ALL - 给所有变量名加上前缀 prefix。 EXTR_PREFIX_INVALID - 仅在不合法或数字变量名前加上前缀 prefix。 EXTR_IF_EXISTS - 仅在当前符号表中已有同名变量时，覆盖它们的值。其它的都不处理。 EXTR_PREFIX_IF_EXISTS - 仅在当前符号表中已有同名变量时，建立附加了前缀的变量名，其它的都不处理。 EXTR_REFS - 将变量作为引用提取。导入的变量仍然引用了数组参数的值。 这个函数的重点就是默认将已经有的变量给覆盖掉

存在问题;将原来的变量覆盖，进行绕过

源码：

$a = 'yaun'; extract($_GET); if($auth == 1){ echo "private!"; } else{ echo "public!"; }

问题解析：当我传递a=1的时候，extract()函数发现有原来的变量，于是将原来变量的值覆盖掉，变成a=1，在进行if条件语句的判断。

parse_str()函数

定义用法： parse_str() 函数用于把查询字符串解析到变量中，如果没有array 参数，则由该函数设置的变量将覆盖已存在的同名变量。 极度不建议 在没有 array参数的情况下使用此函数，并且在 PHP 7.2 中将废弃不设置参数的行为。此函数没有返回值。

源码：

if(empty($_GET['id'])){ show_source(__FILE__); die(); }else{ include('flag.php'); $a = "http://blog./12332766"; $id = $_GET['id']; @parse_str($id); if($a[0] == 'yaun'){ echo "yes is flag"; }else{ exit('其实很简单，其实并不难'); } }

测试：

变量覆盖拓展：php中遇到$$的时候也会出现变量覆盖的情况。详情请到：http://blog./12332766/2120800。

strcmp()函数

定义用法： Strcmp(string1,string2)函数比较两个字符串

返回值：0 - 如果两个字符串相等<0 - 如果 string1 小于 string2 >0 - 如果 string1 大于 string2

问题：处理数组的时候返回null

源码“

$a="yaun"; $pass=$_GET['pass']; if(strcmp($a, $pass) == 0){ echo "成功"; }else{ echo "失败"; }

测试：

is_numeric()函数

定义用法: is_numeric() 函数用于检测变量是否为数字或数字字符串。 如果指定的变量是数字和数字字符串则返回 TRUE，否则返回 FALSE

问题1：传递十六进制的话，会让检测无效。源码：

$a=$_GET['num']; if(is_numeric($a)){ echo "您输入的是数字"; }else{ echo "请输入合法字符"; }

测试：输入一串查询语句转换过得十六进制

preg_match()函数

定义用法： Preg_match()函数匹配正则表达式。

返回值：返回 pattern 的匹配次数。 它的值将是 0 次（不匹配）或 1 次，因为 preg_match() 在第一次匹配后 将会停止搜索。如果发生错误preg_match()返回 FALSE。问题：如果在进行正则表达式匹配的时候，没有限制字符串的开始和结束(^ 和 $)，则可以存在绕过的问题源码：

$ip=$_GET['ip']; if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) { die('error'); } else { echo "this is flag"; }

in_array()函数

定义用法： in_array(search,array) 函数搜索数组中是否存在指定的值。

返回值：如果给定的值 search 存在于数组 array 中则返回 true。如果没有在数组中找到参数，函数返回 false。

$array=[0,1,2,'3']; var_dump(in_array('abc', $array)); var_dump(in_array('1bc', $array));

unserialize()函数具体使用方法见另一篇博客：http://blog./12332766/2121394

strpos()函数

定义用法： strpos() 函数查找字符串在另一字符串中第一次出现的位置（区分大小写）。 注释：strpos() 函数是区分大小写的。 注释：该函数是二进制安全的。

语法：strpos(string,find,start) string 必须，规定被搜索的字符串；find 必须，规定查找的字符串；start 可选，规定开始搜索的位置。返回值：返回字符串在另一字符串中第一次出现的位置，如果没有找到字符串则返回 FALSE。注释： 字符串位置从 0 开始，不是从 1 开始源码：

if(strpos($_GET['password'],'abc') == 0 ){ echo '123'; } else{ echo '456'; }

strlen()函数

定义用法： strlen() 函数返回字符串的长度

语法：strlen(string) string-必须，规定要检查的字符串。

源码：

if(strlen($_GET['password']) == 0 ){ echo '1233'; }else{ echo '4566'; }

此博客作为个人笔记，若有带来错误之处请谅解！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。