本文主要向大家介绍了PHP语言学习之php 弱类型总结，通过具体的内容向大家展示，希望对大家学习php语言有所帮助。

0x01 前言

最近CTF比赛，不止一次的出了php弱类型的题目，借此想总结一下关于php弱类型以及绕过方式

0x02 知识介绍

php中有两种比较的符号 == 与 ===

 <?  =  === ?>

=== 在进行比较的时候，会先判断两种字符串的类型是否相等，再比较

== 在进行比较的时候，会先将字符串类型转化成相同，再比较

如果比较一个数字和字符串或者比较涉及到数字内容的字符串，则字符串会被转换成数值并且比较按照数值来进行

这里明确了说如果一个数值和字符串进行比较的时候，会将字符串转换成数值

 <? ("admin"==0);  
 ("1admin"==1); 
 ("admin1"==1) 
 ("admin1"==0) 
 ("0e123456"=="0e4456789"); 
 ?>  //上述代码可自行测试

 观察上述代码，"admin"==0 比较的时候，会将admin转化成数值，强制转化,  "0e123456"=="0e456789"相互比较的时候，会将0e这类字符串识别为科学技术法的数字，0的无论多少次方都是零，所以相等

对于上述的问题我查了php手册

当一个字符串欸当作一个数值来取值，其结果和类型如下:如果该字符串没有包含‘.‘,‘e‘,‘E‘并且其数值值在整形的范围之内
该字符串被当作int来取值，其他所有情况下都被作为float来取值，。

 <? =1 + "10.5"; 
 =1+"-1.3e3"; 
 =1+"bob-1.3e3";
 =1+"2admin";
 =1+"admin2";
 ?>

所以就解释了"admin1"==1 =>False 的原因

0x03 实战

md5绕过(Hash比较缺陷)

 <?  (([‘Username‘]) && ([‘password‘      =       = [‘Username‘      = [‘password‘ 
       (!()) { =        (!() ) { =        (() != ()) { =        (      "successful"       }             "login failed!"   ?>

题目大意是要输入一个字符串和数字类型，并且他们的md5值相等，就可以成功执行下一步语句 

介绍一批md5开头是0e的字符串 上文提到过，0e在比较的时候会将其视作为科学计数法，所以无论0e后面是什么，0的多少次方还是0。md5(‘240610708‘) == md5(‘QNKCDZO‘)成功绕过!

0e8304004519934940580242199033910e5459932745177090343288558410200e3427684168224515249741172544690e8482404488305379244658656119040e8482404488305379244658656119040e5459932745177090343288558410200e9406242178565615578163273846750e509367213418206700842008763514

json绕过

<? (([‘message‘ = json_decode([‘message‘ ="*********" (-> ==  "flag" "fail" "~~~~"?>

输入一个json类型的字符串，json_decode函数解密成一个数组，判断数组中key的值是否等于 $key的值，但是$key的值我们不知道，但是可以利用0=="admin"这种形式绕过

最终payload message={"key":0}

array_search is_array绕过

 <? (!([‘test‘])){ =[‘test‘ (=0;<();++     ([]=="admin"          "error"               []=([  (("admin",)===0      "flag"        "false"  ?>

上面是自己写的一个，先判断传入的是不是数组，然后循环遍历数组中的每个值，并且数组中的每个值不能和admin相等，并且将每个值转化为int类型，再判断传入的数组是否有admin，有则返回flag

payload test[]=0可以绕过

下面是官方手册对array_search的介绍

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle，$haystack必需，$strict可选  函数判断$haystack中的值是存在$needle，存在则返回该值的键值 第三个参数默认为false，如果设置为true则会进行严格过滤

 <? =(0,1 (("admin",)); 
 (array_seach("1admin",));  
 ?>

array_search函数 类似于== 也就是$a=="admin" 当然是$a=0  当然如果第三个参数为true则就不能绕过

strcmp漏洞绕过 php -v <5.3

 <?     ="***************"
      (([‘password‘ 
          (([‘password‘], ) == 0              "Right!!!login success"                      }               "Wrong password.."  ?>

strcmp是比较两个字符串，如果str1<str2 则返回<0 如果str1大于str2返回>0 如果两者相等 返回0

我们是不知道$password的值的，题目要求strcmp判断的接受的值和$password必需相等，strcmp传入的期望类型是字符串类型，如果传入的是个数组会怎么样呢

我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型，将发生错误，但是还是判断其相等

payload: password[]=xxx

switch绕过

 <? ="4admin"  (      1:
          "fail1"               2:
          "fail2"               3:
          "fail3"               4:
          "sucess"              :
          "failall"           ?>

这种原理和前面的类似，就不详细解释了

0x04 总结

这些php弱类型只是冰山一角 上述验证了代码审计的重要性

本文由职坐标整理并发布，希望对同学们有所帮助。了解更多详情请关注职坐标编程语言PHP频道！