PHP弱类型你真的懂了吗？-外链论坛

tw4ld6 发表于 2024-10-4 16:59:06

PHP弱类型你真的懂了吗？

<img src="https://mmbiz.qpic.cn/mmbiz_gif/3xxicXNlTXLicwgPqvK8QgwnCr09iaSllrsXJLMkThiaHibEntZKkJiaicEd4ibWQxyn3gtAWbyGqtHVb0qqsHFC9jW3oQ/640?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1" style="width: 50%; margin-bottom: 20px;">
文案源自：仙桥六号部队在一次渗透测试中，因为甲方守护做的比较好，并无发掘什么漏洞，在即将结束的时候，我还是无大的突破。于是我又进行了一波仔细的信息搜集，发掘系统中存在phpList，顿时，我眼前一亮——我记得以前看到过phplist的关联漏洞。随即
 我起始搜索phplist的历史漏洞，经过我的一通操作，最后确定phplist的版本为3.5.0，漏洞为弱类型漏洞，利用弱类型漏洞登录进去，之后就一切顺利了。
因为在客户设备上做的渗透，截图神马的都无······下面我在本机上搭建了一个环境，对phplist3.5.0弱类型漏洞进行一下复现。1复现过程
phpList 3.5.0版本存在的安全漏洞编号是CVE-2020-5847，该漏洞源于程序无正确处理开头为0e之后所有为数字字符的哈希值。远程攻击者可利用该漏洞绕过管理员账户的身份验证。
首要下载phpList 3.5.0-RC1，而后解压找到这个目录：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfbc4oOV0SN424M897sM3PcibGHbOuCPUuDB0jTs0IwJUYsiaJS0icyUQ7g/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">将这个目录拷贝到网站目录下，并重命名。修改config/config.php配置文件，设置要连接的数据库和账户秘码：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfeCVBheauBfQWXmQvBqaJjXzkUibKoPRToQNNv9K61NdU0SatUHDzicSQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">同期创立phplistdb数据库。拜访http://127.0.0.1/phplist/admin/；接下来初始化安装，设置管理员的账号秘码：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfI3ia3cLoUz1QmHHdzMcuPptibCGv8gIcBN6NUkOBuWI0GtXf44Is8eZw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">这儿的秘码要设置成 sha256 后以0e开头的字符串，如TyNOQHUS。咱们再次拜访后台，以秘码 34250003024812进行登录，其sha256后亦是以0e开头。“TyNOQHUS——hash ：0e66298694359207596086558843543959518835691168370379069085300385”“34250003024812——hash：0e46289032038065916139621039085883773413820991920706299695051332”<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfOwdksxRWMbuM6lWHh7yAk1nhGPIMLMyS7CAHibvNCgAW3iav0LGLL1Og/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">登录成功，漏洞验证成功：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfd3XeW8AqJiaU2AMKVO5C7eGibTwib3MpoSre3aYaAWKsj8MP08cP4S1Qg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">下面还是详细分析一下漏洞处的代码。验证管理员登录的PHP文件为：“phpListAdminAuthentication.php”登录时，秘码传入其中，经过if判断后，能够看到$encryptedPass（秘码sha256后的值）是运用==来判断和数据库中的值是不是同样，即$encryptedPass == $passwordDB。PHP弱类型比较，就会导致0exxxxx == 0eyyyyy（会把每一个以”0e”开头的哈希值都解释为0），详细代码如下图：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfvu2EGuUerKicOFbeNnPuGkbNbE9WNLD4d8kRXBqgZIqiaYRWFT2cQDog/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">2什么是PHP弱类型首要先说一下，什么是强类型和弱类型？语言一般被分为强类型和弱类型两种。强类型指的是强制数据类型的语言，换句话说，一个变量一旦被定义了成某个类型，倘若不经过强制类型转换，这个变量就始终是这个类型。在变量运用之前，必须声明变量的类型和名叫作，且不经强制转换，不准许两种区别类型的变量互相操作。而弱类型能够随意转换变量的类型。PHP作为最受欢迎的开源脚本语言，越来越多的应用于Web研发行业。同期PHP属于弱类型语言，即定义变量的时候不消声明它是什么类型。弱类型确实给程序员书写代码带来了很大的便利，然则在安全行业，特性既漏洞，这些特性在代码里面经常便是漏洞最容易显现的地区。PHP官方亦给出了类型比较表，表格表示了 PHP 类型和比较运算符在松散和严格比较时的功效。松散比较：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfCWKJZFaibib4AkIs8Ic1qcNySmJ6BMEuYdPQjDo5jfvVrhiakicEUEiaIicQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">严格比较：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfpEKfOse80jxV9OkKRDOc4L4rmywUzyLXnoMDUr1YrUXf2jyr9sL9Rg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">总结一下PHP弱类型产生漏洞的原理：
PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0e”开头的哈希值都解释为0，因此倘若两个区别的秘码经过哈希以后，其哈希值都是以”0e”开头的，那样PHP将会认为她们相同，都是0。
当区别类型的变量进行比较的时候就会存在变量转换的问题，在转换之后就有可能会存在弱类型问题。例如需要将GET或是POST的参数转换为int类型，或是两个变量不匹配的时候，PHP会自动地进行变量转换。然则PHP是一个弱类型的语言，引起在进行类型转换的时候就会产生弱类型关联的漏洞。
函数转换出错时导致的弱类型问题，例如：strcmp函数参数str1不为预期的String类型时(例如数组，)，在PHP 5.3版本之前将返回-1，5.3之后的版本将返回NULL。经过以上方式能够产生秘码重置、绕过管理员账户的身份验证、注入、cookie伪造等弱类型漏洞。有些CTF试题亦会利用其弱类型进行设置有些如MD5碰撞、十六进制转换等问题。下面经过有些漏洞实例来进行说明。3CVE-2014-0166(WordPress Cookie伪造) 在wordpress-3.8.2的补丁中有以下代码：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMf3Q1HntG5n5ic7or1ia1W255HALe3a1gIgoicpmQNSCeicxd0KoxKYibA5Hw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">而在wordpress-3.8.1的相对应的PHP代码是这般的：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMfmemSXCuFXT23GkQ8a0CPflO6tmcWGMDt4I7v3AopruFXImN3OEVs7Q/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">经过对比咱们自然把所有的关注点放到!=与!==上来。再看php manual中给出的例子：<?php var_dump(0 == "a"); // 0 == 0 -> true var_dump("1" == "01"); // 1 == 1 -> true var_dump("10" == "1e1"); // 10 == 10 -> truevar_dump(100 == "1e2"); // 100 == 100 -> true?>字符串在与数字比较前会自动转换为数字，因此0=="a"了。回到wordpress的验证代码上来。先生成按照用户名($username)、秘码($pass_frag)、cookie有效期 ($expiration)、wp-config.php中的key($key)四个信息计算出对应的$hash, 而后用cookie中取得的$hmac值与之进行比较($hmac != $hash )，从而验证cookie有效性。cookie的格式是这般的：wordpress_hashofurl=username|expiration|hmac咱们能掌控的变量有$username和$expiration，其中$username需要固定。于是咱们能够经过掌控cookie中的$expiration去改变$hash的值，而后将cookie中的$hmac设置为0。只要持续改变$expiration，找到满足$hash=="0"的$hash，就成功伪造了有效的cookie。4
 HDwiki sql注入
 在/control/list.php中，代码如下：<img src="https://mmbiz.qpic.cn/mmbiz_png/WTOrX1w0s57Iffz90hy8WUXPGxYJHVMf0Uvm1rvT3As7Tw0s951mapUmFKBiadjJIDpbAv0BWibtBl1WtrFl1ibmg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">分析代码可知，从GET里得到$doctype，即$doctype = $this->get，接着进入一个switch语句。咱们看到后面直接将$doctype带入SQL语句了：$count=$this->db->fetch_total(focus,"type=$doctype");只要这个switch语句不影响$doctype的值，后面就能注入了。咱们看到case 2和case 3的结果都不会改变$doctype的值，但倘若进入default是会将$doctype改为1。这儿就犯了一个“弱类型”的错误，当一个字符串和一个数字比较的时候，是会先将字符串强制类型转换后再与数字比较。因此我传入doctype是2xxxx的时候，实质上是会进入case 2而不是default。出了switch语句后，doctype的值还是2xxxx，而不是2。因此之后的：$count=$this->db->fetch_total(focus,"type=$doctype");$doctype带入SQL语句导致注入。
 5
 CTF中的利用《MD5碰撞》：<?php if (isset($_GET) && isset($_GET)) {$logined = true; $Username = $_GET; $password = $_GET; if (!ctype_alpha($Username)) {$logined = false;}if (!is_numeric($password) ) {$logined = false;} if (md5($Username) != md5($password)) {$logined = false;} if ($logined){ echo "successful"; }else{ echo "login failed!"; } } ?>这个题目的意思是，输入一个数字和一个字符串，并且让她们的MD5值相同，才能够得到successful。0e在比较的时候会将其视做为科学计数法，因此无论0e后面是什么，0的多少次方还是0。因此咱们只需要输入一个数字和字符串，进行MD5加密之后都为0e，就可得出答案。md5(240610708) == md5(QNKCDZO)成功绕过。《起名字真难》：<?phpfunction noother_says_correct($number){ $one = ord(1); $nine = ord(9); for ($i = 0; $i < strlen($number); $i++) { $digit = ord($number{$i});if ( ($digit >= $one) && ($digit <= $nine) ) { return false; } } return $number == 54975581388;}$flag=*******;if(noother_says_correct($_GET)) echo $flag;elseecho access denied;?>题目大致的意思便是，输入一串key，key不能够是数字的形式，然则却需求与数字54975581388相等，才能够拿到flag。看完题目就晓得需求字符串和数字进行比较，因此：$number == 54975581388；看到这就想到了弱类型，54975581388与之匹配的十六进制的字符串是0xccccccccc。全不是数字，自然就绕过了，得到flag。6结语看到这儿相信大众都对PHP弱类型比较认识了，当然还有非常多其他的漏洞实例，这儿就不一一列举了。下面列举有些以0e开头的字符串的md5的hash值：
s214587387a：
0e848240448830537924465865611904；
s1502113478a：
0e861580163291561247404381396064；
s1091221200a：
0e940624217856561557816327384675；
s1665632922a：
0e731198061491163073197128363787；
s1885207154a：
0e509367213418206700842008763514；
s1836677006a：
0e481036490867661113260034900752；
s1665632922a：
0e731198061491163073197128363787；
s878926199a：
0e545993274517709034328855841020；
QLTHNDT：
0e405967825401955372549139051580；
QNKCDZO：
0e830400451993494058024219903391；
EEIZDOI：
0e782601363539291779881938479162；
TUFEPMC：
0e839407194569345277863905212547；
UTIPEZQ：
0e382098788231234954670291303879；
UYXFLOI：
0e552539585246568817348686838809；
IHKFRNS：
0e256160682445802696926137988570；
240610708：
0e462097431906509019562988736854；
314282422：
0e990995504821699494520356953734;
571579406：
0e972379832854295224118025748221；
903251147：
0e174510503823932942361353209384；
1110242161：
0e435874558488625891324861198103；
1320830526：
0e912095958985483346995414060832；
1586264293：
0e622743671155995737639662718498；感谢阅读，下次再见！
 侵权请私聊公众号删文
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">

4lqedz 发表于 2024-11-8 18:55:57

祝福你、祝你幸福、早日实现等。

页: [1]

外链论坛's Archiver

PHP弱类型你真的懂了吗？