php比較運算子的安全問題

wyzsk發表於2020-08-19
PHP
作者: xxlegend · 2015/08/05 10:40

0x00 比較運算子

php的比較運算子有==(等於)鬆散比較,===(完全等於)嚴格比較,這裡面就會引入很多有意思的問題。

在鬆散比較的時候,php會將他們的型別統一,比如說字元到數字,非bool型別轉換成bool型別,為了避免意想不到的執行效果,應該使用嚴格比較。如下是php manual上的比較運算子表:

例子        名稱         結果
$a == $b    等於      TRUE,如果型別轉換後 $a 等於 $b。
$a === $b   全等      TRUE,如果 $a 等於 $b,並且它們的型別也相同。
$a != $b    不等      TRUE,如果型別轉換後 $a 不等於 $b。
$a <> $b    不等      TRUE,如果型別轉換後 $a 不等於 $b。
$a !== $b   不全等     TRUE,如果 $a 不等於 $b,或者它們的型別不同。
$a < $b     小與      TRUE,如果 $a 嚴格小於 $b。
$a > $b     大於      TRUE,如果 $a 嚴格大於 $b。
$a <= $b    小於等於     TRUE,如果 $a 小於或者等於 $b。
$a >= $b    大於等於     TRUE,如果 $a 大於或者等於 $b。

0x01 安全問題

1 hash比較缺陷

php在處理hash字串的時候會用到!=,==來進行hash比較,如果hash值以0e開頭,後邊都是數字,再與數字比較,就會被解釋成0*10^n還是為0,就會被判斷相等,繞過登入環節。

#!bash
[email protected]:~/tool# php -r 'var_dump("00e0345" == "0");var_dump("0e123456789"=="0");var_dump("0e1234abc"=="0");'
bool(true)
bool(true)
bool(false)

當全是數字的時候,寬鬆的比較會執行盡力模式,如0e12345678會被解釋成0*10^12345678,除了e不全是數字的時候就不會相等,這能從var_dump("0e1234abc"=="0")可以看出來。

2 bool 欺騙

當存在json_decode和unserialize的時候,部分結構會被解釋成bool型別,也會造成欺騙。json_decode示例程式碼:

#!php
$json_str = '{"user":true,"pass":true}';
$data = json_decode($json_str,true);
if ($data['user'] == 'admin' && $data['pass']=='secirity')
{
    print_r('logined in as bool'."\n");
}

執行結果:

#!bash
[email protected]:/var/www# php /root/php/hash.php
logined in as bool

unserialize示例程式碼:

#!php
$unserialize_str = 'a:2:{s:4:"user";b:1;s:4:"pass";b:1;}';
$data_unserialize = unserialize($unserialize_str);
if ($data_unserialize['user'] == 'admin' && $data_unserialize['pass']=='secirity')
{
    print_r('logined in unserialize'."\n");
}

執行結果如下:

#!php
[email protected]:/var/www# php /root/php/hash.php
logined in unserialize

3 數字轉換欺騙

#!php
$user_id = ($_POST['user_id']);
if ($user_id == "1")
{
    $user_id = (int)($user_id);
    #$user_id = intval($user_id);
    $qry = "SELECT * FROM `users` WHERE user_id='$user_id';";
}
$result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );
print_r(mysql_fetch_row($result));

將user_id=0.999999999999999999999傳送出去得到結果如下:

Array
(
    [0] => 0
    [1] => lxx'
    [2] => 
    [3] => 
    [4] => 
    [5] => 
)

本來是要查詢user_id的資料,結果卻是user_id=0的資料。int和intval在轉換數字的時候都是就低的,再如下程式碼:

#!php
if ($_POST['uid'] != 1) {
 $res = $db->query("SELECT * FROM user WHERE uid=%d", (int)$_POST['uid']);
 mail(...);
} else {
 die("Cannot reset password of admin");
}

假如傳入1.1,就繞過了$_POST['uid']!=1的判斷,就能對uid=1的使用者進行操作了。另外intval還有個盡力模式,就是轉換所有數字直到遇到非數字為止,如果採用:

if (intval($qq) === '123456')
{
    $db->query("select * from user where qq = $qq")
}

攻擊者傳入123456 union select version()進行攻擊。

4 PHP5.4.4 特殊情況

這個版本的php的一個修改導致兩個數字型字元溢位導致比較相等

$ php -r 'var_dump("61529519452809720693702583126814" == "61529519452809720000000000000000");'
bool(true)

3 題外話:

同樣有類似問題的還有php strcmp函式,manual上是這麼解釋的,int strcmp ( string $str1 , string $str2 ),str1是第一個字串,str2是第二個字串,如果str1小於str2,返回<0,如果str1>str2,返回>0,兩者相等返回0,假如str2為一個array呢?

#!php
$_GET['key'] = array();
$key = "llocdpocuzion5dcp2bindhspiccy";
$flag = strcmp($key, $_GET['key']);
if ($flag == 0) {
    print "Welcome!";
} else {
    print "Bad key!";
}

執行結果:

[email protected]:~/php# php strcmp.php
PHP Warning:  strcmp() expects parameter 2 to be string, array given in /root/php/strcmp.php on line 13
Welcome!

參考: 1,http://phpsadness.com/sad/47
2,http://php.net/language.operators.comparison
3,http://indico.cern.ch/event/241705/material/slides/0.pdf

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章