0x00 前言
上期的三个白帽挑战题已经结束,但是大家依旧意犹未尽,讨论着writeup中的知识点,其中比较有意思的是关于php弱类型的:

1
array(0)>999999999

这个结果是true的。
群里各位大牛给了各种思考,和相关文章:
php.net/manual/zh/language.operators.comparison.php
但是基本都是别人给出的结论,我不太喜欢结论性的东西,这只让我知道了结果,并不知道为什么有这样的结果。

0x01 php动态调试(php5.6为例)
1.下载解压并安装

1
2
3
4
5
6
7
# wget http://cn2.php.net/distributions/php-5.6.0.tar.xz
# xz -d php-5.6.0.tar.xz
# tar vxf php-5.6.0.tar
# cd php-5.6.0
# ./configure --enable-debug
# make
# sudo make install

2.相关文章推荐
《深入理解Zend执行引擎(PHP5)》
《使用vld查看OPCode》
《调式PHP源码》

0x02 OPCode分析
[科普小文章]php内核动态调试关于弱类型比较-安全盒子
[科普小文章]php内核动态调试关于弱类型比较-安全盒子
可以看出关键操作是IS_SMALLER,如果你仔细看过上面推荐文章就可以找到关键函数

1
ZEND_API int compare_function(zval *result, zval *op1, zval *op2 TSRMLS_DC) /* {{{ */

0x03 gdb动态调试
注意红框内容,相信看过上边内容的都能看懂(ps:详细内容太多,请先学习推荐文章)
[科普小文章]php内核动态调试关于弱类型比较-安全盒子

大致逻辑是两个参数进来经过zendi_convert_scalar_to_number函数处理,由于我们一个是数组一个是整形,所以两个参数类型和值都不变

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
#define zendi_convert_scalar_to_number(op, holder, result)
if (op==result) {
if (Z_TYPE_P(op) != IS_LONG) {
convert_scalar_to_number(op TSRMLS_CC);
}
} else {
switch (Z_TYPE_P(op)) {
case IS_STRING:
{
if ((Z_TYPE(holder)=is_numeric_string(Z_STRVAL_P(op), Z_STRLEN_P(op), &Z_LVAL(holder), &Z_DVAL(holder), 1)) == 0) {
ZVAL_LONG(&(holder), 0);
}
(op) = &(holder);
break;
}
case IS_BOOL:
case IS_RESOURCE:
ZVAL_LONG(&(holder), Z_LVAL_P(op));
(op) = &(holder);
break;
case IS_NULL:
ZVAL_LONG(&(holder), 0);
(op) = &(holder);
break;
case IS_OBJECT:
(holder) = (*(op));
zval_copy_ctor(&(holder));
convert_to_long_base(&(holder), 10);
if (Z_TYPE(holder) == IS_LONG) {
(op) = &(holder);
}
break;
}
}

然后再次进入循环到达

1
2
3
4
5
6
} else if (Z_TYPE_P(op1)==IS_ARRAY) {
ZVAL_LONG(result, 1);
return SUCCESS;
} else if (Z_TYPE_P(op2)==IS_ARRAY) {
ZVAL_LONG(result, -1);
return SUCCESS;

从opcode可以看到op2为array(0)所以这儿返回-1

最后(Z_LVAL_P(result) < 0)成立,返回true

1
2
3
4
5
if (compare_function(result, op1, op2 TSRMLS_CC) == FAILURE) {
return FAILURE;
}
ZVAL_BOOL(result, (Z_LVAL_P(result) &lt; 0));
return SUCCESS;

转载请注明来自L.N.'s blog的《[科普小文章]php内核动态调试关于弱类型比较》