0x00 弱型別初探

---

沒有人質疑php的簡單強大，它提供了很多特性供開發者使用，其中一個就是弱型別機制。

在弱型別機制下 你能夠執行這樣的操作

#!php
<?php
$var = 1;
$var = array();
$var = "string";
?>

php不會嚴格檢驗傳入的變數型別，也可以將變數自由的轉換型別。

比如 在$a == $b的比較中

• $a = null; $b = false; //為真
• $a = ''; $b = 0; //同樣為真

然而，php核心的開發者原本是想讓程式設計師藉由這種不需要宣告的體系，更加高效的開發，所以在幾乎所有內建函式以及基本結構中使用了很多鬆散的比較和轉換，防止程式中的變數因為程式設計師的不規範而頻繁的報錯，然而這卻帶來了安全問題。

0x02 知識預備 php核心之zval結構

---

在PHP中宣告的變數，在ZE中都是用結構體zval來儲存的

zval的定義在zend/zend.h

#!c
typedef struct _zval_struct zval;  

struct _zval_struct {  
    /* Variable information */  
    zvalue_value value;     /* value */  
    zend_uint refcount__gc;  
    zend_uchar type;    /* active type */  
    zend_uchar is_ref__gc;  
};  

typedef union _zvalue_value {  
    long lval;  /* long value */  
    double dval;    /* double value */  
    struct {  
        char *val;  
        int len;  
    } str;  
    HashTable *ht;  /* hash table value */  
    zend_object_value obj;  
} zvalue_value;

其中php透過type判斷變數型別 存入value

如上也就是php核心中弱型別的封裝，也是我們後面講的所有東西的原理和基礎。

0x03變數的強制轉換

---

透過剛剛的瞭解，我們知道zval.type決定了儲存到zval.value的型別。

當原始碼進行一些未限制型別的比較，或數學運算的時候，可能會導致zval.type的改變，同時影響zval.value的內容改變。

當int遇上string

cp.1 數學運算

當php進行一些數學計算的時候

#!php
var_dump(0 == '0'); // true
var_dump(0 == 'abcdefg'); // true  
var_dump(0 === 'abcdefg'); // false
var_dump(1 == '1abcdef'); // true 

當有一個對比引數是整數的時候，會把另外一個引數強制轉換為整數。

相當於對字串部分

intval再和整數部分比較,其實也就是改變了zval.type的內容 尤為注意的是，'1assd'的轉換後的值是1，而‘asdaf’是0

也說明了intval會從第一位不是數字的單位開始進行

所有也有

#!php
var_dump(intval('3389a'));//輸出3389

這個例子就告訴我們，永遠不要相信下面的程式碼

#!php
if($a>1000){
    mysql_query('update ... .... set value=$a')
}

你以為這時候進入該支的萬無一失為整數了

其實$a可能是1001/**/union...

cp.2 語句條件的鬆散判斷

舉個例子 php的switch使用了鬆散比較. $which會被自動intval變成0 如果每個case裡面沒有break ，就會一直執行到包含，最終執行到我們需要的函式，這裡是成功包含

#!php
<?php
if (isset($_GET['which']))
{
        $which = $_GET['which'];
        switch ($which)
        {
        case 0:
        case 1:
        case 2:
                require_once $which.'.php';
                break;
        default:
                echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
                break;
        }

cp.3 函式的鬆散判斷

#!php
var_dump(in_array("abc", $array));

in_array — 檢查陣列中是否存在某個值 引數

needle 待搜尋的值。

Note: 如果 needle 是字串，則比較是區分大小寫的。 haystack 這個陣列。

strict 如果第三個引數 strict 的值為 TRUE 則 in_array() 函式還會檢查 needle 的型別是否和 haystack 中的相同。

可以看到，只有加了strict才會對型別進行嚴格比較， 那麼我們再次把整形和字串進行比較呢？

#!php
var_dump(in_array("abc", $array1));</br>
var_dump(in_array("1bc", $array2));

它遍歷了array的每個值，並且作"=="比較（“當設定了strict 用===”）

結果很明顯了

如果array1裡面有個值為0，那麼第一條返回就會為真//intval('abc')=0

如果array2裡面有個值為1，那麼第二條就會為真//intval('1bc')=1

array_search也是一樣的原理

這裡的應用就很廣泛了，

很多程式設計師都會檢查陣列的值，

那麼我們完全可以用構造好的int 0或1 騙過檢測函式，使它返回為真

總結一下，在所有php認為是int的地方輸入string，都會被強制轉換，比如

#!php
$a = 'asdfgh'；//字串型別的a</br>
echo $a[2]；  //根據php的offset 會輸出'd'</br>
echo $a[x]；  //根據php的預測，這裡應該是int型，那麼輸入string，就會被intval成為0 也就是輸出'a'

當陣列遇上string

這一個例子我是在德國的一個ctf中遇到，很有意思 前面我們講的都是string和int的比較

那麼array碰上int或者是string會有什麼化學反應？

由php手冊我們知道

Array轉換整型int/浮點型float會返回元素個數；

轉換bool返回Array中是否有元素；轉換成string返回'Array'，並丟擲warning。

那麼實際應用是怎樣的呢？

#!php
if(!strcmp($c[1],$d) && $c[1]!==$d){
...
}

可以發現，這個分支透過strcmp函式比較要求兩者相等且“==”要求兩者不相等才能進入。

strcmp() 函式比較兩個字串。

該函式返回：

0 - 如果兩個字串相等
<0 - 如果 string1 小於 string2
>0 - 如果 string1 大於 string2

這裡的strcmp函式實際上是將兩個變數轉換成ascii 然後做數學減法，返回一個int的差值。

也就是說鍵入'a'和'a'進行比較得到的結果就是0

那麼如果讓$array和‘a’比較呢？

#!php
http://localhost:8888/1.php?a[]=1
var_dump(strcmp($_GET[a],'a'));

這時候php返回了null！

也就是說，我們讓這個函式出錯從而使它恆真，繞過函式的檢查。 下面給出一張鬆散比較的表格

0x04時時防備弱型別

---

作為一個程式設計師，弱型別確實給程式設計師書寫程式碼帶來了很大的便利，但是也讓程式設計師忘記了 $array =array();的習慣。 都說一切輸入都是有害的

那麼其實可以說一切輸入的型別也是可疑的，永遠不要相信弱型別的php下任何比較函式，任何數學運算。否則，你絕對是被php出賣的那一個。