一、PHP弱类型 is_numeric()

输入：127.0.0.1/BWVS/bug/php/code.php 

# 1、源代码分析

如果num不是数字，那么就输出num，同时如果num==1，就输出flag。即num要是字符串又要是数字

# 2、函数分析：

is_numeric()函数：函数用于检测变量是否为数字或数字字符串。如果指定的变量是数字和数字字符串则返回 TRUE，否则返回 FALSE，注意浮点型返回空值，即 FALSE。

立刻想到PHP的弱类型比较，构造payload:?num=1shu

# 3、payload解析：

1shu不是数字或数字字符串则返回false,!false为ture 输出num。php弱类型会自动将第一位为数字的字符串为该数字的值，否则为值0。所以1shu会被解析为1==1。成功返回flag

# 二、strcmp函数缺陷

# 1、理论知识

1、strcmp(str1,str2)函数用来字符串的比较，当str1 < str2时 返回小于0 ，str1 > str2时返回>0的数，str1 == str2时返回 等于0

2、但是他不能判断数组，直接返回flase

所以可以直接构造payload： ？password[]=1 查看源代码 /bug/php/md5.php

# 2、代码分析

<?phpinclude_once('../../bwvs_config/sys_config.php');require_once('../../header.php');$password=$_GET['password'];if(strcmp('21232f297a57a5a743894a0e4a801fc3',$password)){   //当password==21232f297a57a5a743894a0e4a801fc3 时相等 为falseecho 'password is false ! ! ! ! !';}else{echo 'flag is here!!<br>';echo 'flag{挑战成功}';}?><?php 
require_once('../info.php');
?>

发现当password为这串字符串时，即？password=21232f297a57a5a743894a0e4a801fc3时，也能得到flag