天网管理系统

1. 关于php的弱类型漏洞：在php中，定义变量之前没有像其他语言一样要求我们先说明该变量的类型。在他这里，无论你是字符，数字，数组都是直接$+变量名，那么怎么判断两个变量是否相等呢？在php中的==运算符下，会把类数值型数据（如含有数字的字符串）转换成数字处理。比方说在数字与字符串作比较时：

   3=="3aasda"

   结果竟然是true，也解释说他会把字符串的第一个非数字字符前的数字当作字符的值来与数字进行比较。当然，要是向绝对判断，就要用到===，三个等于号，最厉害的判断，类型不同直接就false。

   所以在本题中，我们输入的username的值经过md5加密后要==’0’，这里就用到的我们上面说的php类数值型数据的数字处理，只要我们传入的值加密后的字符串能被看作数字0来判断，就达到效果了。

   这里有一些汇总

​ 这些字符串加密后都为0exxxx，可以看作是数字型，与’0’判断相等。

1. 把符合要求的username值输入后，会出现一个地址，复制到地址栏访问后，会出现

   $unserialize_str =$_POST[‘password’]; $data_unserialize = unserialize($unserialize_str); if($data_unserialize['user'] == '???' &&$data_unserialize[‘pass’]==’???’) { print_r($flag); } 伟大的科学家php方言道：成也布尔，败也布尔。 回去吧骚年

   审计代码可知，就是让我们造一个数组存在$data_unserialize里面，使他 的"user"=???并且"pass"=???，但是这里的???是什么呢，这里最厉害的一点就要来了 <u>bool类型的true跟任意字符串可以弱类型相等 </u> ，只要是他的值为true，不管???是什么字符串，都在==情况下判断相等，这就是==的危害呀！所以我们只要使得我创建的一个数组，符合上面的要求，并把它反序列话一下传到$_POST[“password”]里面，一切就完事了。

   <?php
   header('content-type:text/html;charset=utf-8');
   $arr=array('user'=>true,'pass'=>true);
   $arr2=serialize($arr);
   echo $arr2;
   ?>
   

   输出的结果为 a:2:{s:4:”user”;b:1;s:4:”pass”;b:1;}

   把这一串放到password里面，登陆一下，flag就出来了。