php弱语言特性-计算科学计数法

php处理字符串时存在一个缺陷问题,如果字符串为“1e1”,本该是一个正常的字符串,但是php会将它认为是科学计数法里面的e;

也就是按照数学的科学计数法来说:1e1=10^1=10,因此php会把这个字符串里面的1e1进行科学计数法计算,得出来就为“10”,即遇到“0e212”这些字符串直接看作为“0”.

 

CTF中遇到的一些代码审计题,如果出题者想利用这一缺陷,往往会配合MD5值来运用。

它会让你使两个GET或者POST变量的值不相等,但是让他们的MD5值相等,正常来说不可能,很难找出字符串不等且MD5相等的两个字符串。

 

因为MD5值为数字加字母,因此我们就可以使用php的这个缺陷,让MD5的第一位为数字0,然后第二位数字为e就行了,后面不管是什么计算出来都是0,因此就达到 MD5值相等的目的了。

这里附上一些字符串进行MD5加密后前两位为“0e”的一个地址:

http://www.cnblogs.com/Primzahl/p/6018158.html

配合一个CTF进行讲解:

bugkuctf的web题:备份是个好习惯

php弱语言特性-计算科学计数法_第1张图片

 

 进去之后发现没什么线索,备份是个提示,直接御剑扫,扫出备份文件

最后扫出了一个bak备份文件,打开是index.php的代码

php弱语言特性-计算科学计数法_第2张图片

 

 很明显,大致的意思是要让两个get变量key1,key2的MD5值相等且本身不相等,并且这里用str_replace将key关键字替换为空;

这里就可以使用双写绕过,kekeyy即可;

然后我们利用php科学计数法缺陷,从我上面给的地址里面找两个字符串分别赋值给kekeyy1,kekeyy2即可

 

 然后满足了if条件,flag就出来了!

 

你可能感兴趣的