攻防世界-easyphp(前导数字字符串、数字字符串、数字弱类型比较)

一道php代码审计题，利用了字符与数字弱类型比较的漏洞。

一、基础知识

• 数字字符串

　　　　形如数字形式的字符串叫做数字字符串，例如：'123456'，'1e56112'(科学计数法)，'123.4'（单纯的数字，没有其他字符，只是数据类型为字符串）；数字字符串在与数字或者数字字符串进行比较时会转化为数字来进行比较。

• 前导数字字符串

　　　　前导数字字符串就是，前缀部分为数字字符，后接其他字符的字符串，例如：'123456abcde'，'1e456789abcde'，'123.4aaa'（注意必须是前缀部分为数字字符，例如：'aa123456bcd'就不是前导数字字符串）。前导数字字符串在进行弱类型比较时，只有在与数字进行比较时，才会转化为数字，即使是两个前导数字字符串进行弱类型比较也不会转化为数字。

• 其余字符串

　　　　对于既不是数字字符串也不是前导数字字符串的字符串，只会在与数字进行弱类型比较时转化为数字，且只能转化为0。

• is_numberic()函数

　　　　如果指定的变量是数字和数字字符串则返回 TRUE，否则返回 FALSE，注意浮点型返回 1，即 TRUE。

• 字符串与数字弱类型比较测试结果

　　　　总结下来就是，数字与字符串进行弱类型比较时，会将字符串转化为数字。当字符串为数字字符串或者前导数字字符串时，会转化为相应数值的数字，当为普通字符串时会转化为0(数字0)；字符串与字符串的比较规则为从左往右将字符进行比较，若要相等则所有字符得相等，若要比较大小，以第一个不相等的字符比较结果作为字符串大小结果。另外true和任何比较都能满足。

但特殊的是需要注意数字字符串与数字字符串之间的比较是转化为数字进行比较！

• 弱类型比较的函数与比较符

　　　　=，==，<，>，array_search，in_array，          后续遇到会添加上来，或是有知道的小伙伴，欢迎在评论区分享

二、分析代码

从下往上分析，易知当$key1和$key2的值都为真时会输出flag。

先看$key1，在第一个if里面，通过GET上传a和b的值来使$key1=1，要求的条件为：a是长度为3的整数，且a要大于6000000以及b的MD5加密值的后六位为8b184b。

对于a的构造，我们可以用科学计数表示法来令a=6e9使其满足条件

对于b的构造，我们可以使用脚本，爆破得出b的值b=53724

所以可以先构造payload为 ?a=1e9&b=53724

接着是$key2,$key2是通过上传json形式的c来实现控制。

c要满足的条件为：为json数据格式，是数组，至少含有键名为m，n的两个键值对

键m对应的值要满足：is_numeric()函数判定为假，且与2022进行>比较时要为真。

　　由于is_numberic会将数字和数字字符串判定为真，但前导数字字符串不会以及>是弱类型比较，且是将c['m']的值与数字进行比较，所以，我们可以直接用前导字符串来作为比较数字与2022进行比较。所以令c['m']='2023a'

键n对应的值要满足：有且仅有两个元素的数组，第一个值为数组，此处易于实现；第二个值要满足array_search("DGGJ", $c["n"])返回为真，同时c["n"]中又不能出现"DGGJ"。此处利用array_search函数在比较两者是否相等时是使用的弱类型比较。又由于"DGGJ"是既非数字字符串又非先导数字字符串的字符串，其在与数字进行比较时会转化为数字0。从而令c['n']的第二个值为0。（一点思考：此处若不是'DGGJ'而是其他字符串时，我们应该视情况而定，选择合适的数字）所以令c['n']=(array(1,2),0)

综上可以令c=array('m'=>'2023a','n'=>array(array(1,2),0)),然后再json_encode一下

构造payload为c={"m":"2023a","n":[[1,2],0]}

最后构造payload为?a=1e9&b=53724&c={"m":"2023a","n":[[1,2],0]}

返回结果为

flag为You're right cyberpeace{70fd15cef40f0516bc2fe7cef5484ff0}

趁热打铁，可以试试这道题