最近在做bugku中程式碼審計的題目，發現了web題目中存在著大量的php漏洞以及弱型別函式的繞過問題，現在藉著bugku中的題目來統一的整理一下。希望通過整理可以溫故而知新。
第一題：extract變數覆蓋 焦點：extract($_GET)

<?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?>

  該題目中extract函式並沒有使用第二個引數，即函式得到兩個value相同的key時，後一個產生的變數的值將覆蓋前一個變數的值。參考payload：?shiyan&flag
第二題

<?php $flag = "flag{xxxxx}"; if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小於 str2 返回 < 0； 如果 str1大於 str2返回 > 0；如果兩者相等，返回 0。 //比較兩個字串（區分大小寫） die('Flag: '.$flag); else print 'No'; } ?>

這個函式是用於比較字串的函式 int strcmp ( string $str1 , string $str2 ) 引數 str1第一個字串。str2第二個字串。
如果 str1 小於 str2 返回 < 0；
如果 str1 大於 str2 返回 > 0；
如果兩者相等，返回 0。
重點：任意陣列通過strcmp和任意字串相比較的結果都是NULL
陣列和字串比較永遠都是零，已知flag｛xxxxx｝為字串，那麼我們就構造a為陣列
參考: ?a[]

第三題：urldecode二次編碼繞過 焦點：$_GET[id] = urldecode($_GET[id])

<?php if(eregi("hackerDJ",$_GET[id])) { echo(" not allowed! "); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "hackerDJ") { echo " Access granted! "; echo " flag "; } ?>

程式碼一開始使用eregi判斷
if(eregi(“hackerDJ”,$_GET[id])) {
echo("
not allowed!
如果，傳入的id的值為hackerDJ，則返回not allowed
  下邊使用urldecode對id的值進行解碼，所以可以讓id得到的值是hackerDJ的url編碼，由於瀏覽器會自行解碼一次，所以編碼兩次就好，因為要對hackerDJ編碼，但是hackerDJ不是規則的，我們需要對著ascii碼錶編碼兩次。其實沒有必要將hackerDJ全部進行二次編碼，在這裡我們僅對D進行編碼，查ascii碼錶：D對應的ascii碼為44，然後再找一個線上URL編碼網站，%44 URL編碼後為 %2544
參考：?id=hacker%2544J
第四題

第五題：陣列返回NULL繞過

<?php $flag = "flag";   if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) echo 'You password must be alphanumeric'; else if (strpos ($_GET['password'], '--') !== FALSE) die('Flag: ' . $flag); else echo 'Invalid password'; } ?>

本題突破口：
if (ereg ("^[a-zA-Z0-9]+$", $_GET[‘password’]) === FALSE)
else if (strpos ($_GET[‘password’], ‘–’) !== FALSE)
首先password引數必須被修改過，其次它是個陣列，進行陣列繞過。
參考：?password[]
第六題：sha()函式比較繞過

<?php $flag = "flag"; if (isset($_GET['name']) and isset($_GET['password'])) { var_dump($_GET['name']); echo " "; var_dump($_GET['password']); var_dump(sha1($_GET['name'])); var_dump(sha1($_GET['password'])); if ($_GET['name'] == $_GET['password']) echo ' Your password can not be your name! '; else if (sha1($_GET['name']) === sha1($_GET['password'])) die('Flag: '.$flag); else echo ' Invalid password. '; } else echo ' Login first! '; ?>

  題目說是sha1函式的繞過，sha1和md5都是在同時期被爆出加密陣列返回NULL的漏洞，所以這道題和md5的思路一樣。
參考payload：?name[]=1&password[]=2
第七題：md5加密相等繞過 焦點：

$a != 'QNKCDZO' && $md51 == $md52
<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "flag{*}"; } else { echo "false!!!"; }} else{echo "please input a";} ?>

  解題思路是檢視QNKCDZO的md5值，發現是0e開頭的字串，php在判斷所有0e開頭的字串都認為是相等的，所以再找出一個字串md5得值也是0e開頭即可。("==“為等於運算子，”==="為全等運算子，===更為嚴格，使用===時將不會出現該錯誤)
參考payload：?a=s878926199a

第八題：十六進位制與數字比較

<?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag{test}'; $one = ord('1'); //ord — 返回字元的 ASCII 碼值 $nine = ord('9'); //ord — 返回字元的 ASCII 碼值 $number = '3735929054'; // Check all the input characters! for ($i = 0; $i < strlen($number); $i++) { // Disallow all the digits! $digit = ord($temp{$i}); if ( ($digit >= $one) && ($digit <= $nine) ) { // Aha, digit not allowed! return "flase"; } } if($number == $temp) return $flag; } $temp = $_GET['password']; echo noother_says_correct($temp); ?>

  該題目不允許輸入1-9的數字，並且輸入的資料要與$number的值相等，因為是"=="，所以可以採用16進位制輸入
num = 3735929054
print (’%#x’%num)
輸出結果為：0xdeadc0de 參考：?password=0xdeadc0de

第九題：ereg正則%00

<?php $flag = "xxx"; if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo ' You password must be alphanumeric '; } else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999) { if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查詢字串首次出現的位置 { die('Flag: ' . $flag); } else { echo(' - have not been found '); } } else { echo ' Invalid password '; } } ?>

  這道題目可以用一個簡單的思路去解，首先，陣列恆大於數字，其次，用strlen測量陣列長度返回值為NULL，同樣用strpos返回值也是NULL，然後本題目用的是嚴格的運算子號 “===“和”!==”，ereg返回值為false沒問題，NULL !== FALSE也沒問題，所以題目就很好解了。
參考payload：?password[]= 或 ?password[]=%00
第十題：strpos陣列繞過

<?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) echo '必須輸入數字才行'; else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE) die('Flag: '.$flag); else echo '騷年，繼續努力吧啊~'; } ?>

  同樣是ereg，上陣列報錯false沒問題，同樣是strpos返回NULL，上陣列返回NULL !== FALSE沒毛病。
參考payload：?ctf[]= 體現ereg的%00繞過可以這樣構造：?ctf[]=%00

第十一題：弱型別整數大小比較繞過

$temp = $_GET['password']; is_numeric($temp)?die("no numeric"):NULL; if($temp>1336){ echo $flag;

  分析：傳入password賦值給temp，is_numeric判斷temp是不是數字，是則die，不是數字就繼續向下執行，再就是傳入的值必須大於1336，上邊提到過，陣列在比較中恆大於具體的值，並且陣列不是數字或者文字型數字，可以繞過數字檢測。
參考：?password[]=

第十二題：數字驗證正則繞過

<?php error_reporting(0); $flag = 'flag{test}'; if ("POST" == $_SERVER['REQUEST_METHOD']) { $password = $_POST['password']; if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 執行一個正則表示式匹配 { echo 'flag'; exit; } while (TRUE) { $reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/'; if (6 > preg_match_all($reg, $password, $arr)) break; $c = 0; $ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何標點符號 [[:digit:]] 任何數字 [[:upper:]] 任何大寫字母 [[:lower:]] 任何小寫字母 foreach ($ps as $pt) { if (preg_match("/[[:$pt:]]+/", $password)) $c += 1; } if ($c < 3) break; //>=3，必須包含四種類型三種與三種以上 if ("42" == $password) echo $flag; else echo 'Wrong password'; exit; } } ?>

  preg_match在應用於陣列時必然為0，所以42在處理後是0，傳入陣列passwod[]得解
參考：password[]