前序

最近我的朋友(Ge15emium)在研究CTF,发给我一个关于使用MD5函数实现sql注入的博文。文章通过构造特殊的字符串通过md5函数输出后,可以构造成注入SQL,拿到Flag。
博文链接:http://mslc.ctf.su/wp/leet-more-2010-oh-those-admins-writeup/?tdsourcetag=s_pcqq_aiomsg
通过文章我们知道作者通过使用md5()对ffifdyop进行加密处理后可以构造出‘or’6<trash>这样一个字符串,来规避掉php的代码检查,进而获得Flag。

本文主要探究的是md5函数怎么把32位16进制的报文摘要输出成为目标字符串,不涉及CTF的解密流程以及MD5的加密流程

1.怎么对字符串进行的加密?

php的md5()具有输出原始二进制数据的特性。

通过文章我们得知,博主通过使用php的md5(“ffifdyop”,true)输出其加密后的原始二进制数据得到目标字符串。从这个流程中我们进而引出下一个问题原始二进制数据是啥?怎么来的？

2.原始二进制数据是啥？怎么来的？

原始二进制数据不是指100111这些二进制数据，而是原始字符串转换成ascii码后组成的字符串。
接下来就使用前序中所说的字符串来演示如何转换。

1. 使用md5(“ffifdyop”)进行加密
   通过加密后将会得到之后的32位16进制字符串:276f722736c95d99e921722cf9ed621c
2. 将32位16进制字符串按照2个字符为一组切割成为16组16进制的字符串
   切割成27,6f,72,27,36,c9,5d,99,e9,21,72,2c,f9,ed,62,1c
3. 将每一组16进制的数值转换成2进制
   100111,1101111,1110010,100111,110110,11001001,1011101,10011001,11101001,100001,1110010,101100,11111001,11101101,1100010,11100
4. 将每一组2进制数值转换称为10进制数值
   39,111,114,39,54,201,93,153,233,33,114,44,249,237,98,28
5. 最后对照如下的ASCII码表即可翻译的出最终的原始二进制字符串
   
   以前四组为例39=>’,111=>o,114=>r,39=>’,最终的组成’or’这一个字符串
   (其实理论上我们可以直接把16进制转换成10进制就好了,但是此处是为了展示我的思考过程才会有2进制这一步,希望写细一点可以帮助大家的理解和认识)

结尾

CTF的注入玩法真的是神仙玩法,平常使用md5函数都还没思考过这个问题,借由此机会也提升了我的php基础知识,使其更加扎实可靠，作为2020第一篇原创文,希望日后也能多写一些这样的文章吧。

• 来自于 Benoit Blanchon 20 January 2015
• 译者 7gugu
• 原文章链接 https://blog.benoitblanchon.fr/build-php-extension-on-windows/

我最近尝试编写了一个PHP拓展,虽然说文档上有很详细的介绍如何在Linux上进行编译操作,但是关于在Windows平台上编译的信息少之又少。

所以这篇文章就是给大家介绍一下,如何使用Visual Studio构建一个PHP拓展。

环境要求

这篇指南是假设在你已经编写了链接所示的一个输出”Hello World”的PHP拓展。 here并且你已经在Linux上成功编译了。

在Windows上构建你的PHP拓展前,你需要完成以下的操作。

1. Visual Studio
   (这里是一个坑点,请确认你的VS的编译器的版本跟PHP编译时的版本是一样的。比如说官网的7.1.33是用的VC14【VS2015】编译的,那么你的拓展也要是用VC14编译的,否则是不能安装你编译好的拓展的。如果你用的是VS2017+,但你有用的是旧版本的PHP环境写的拓展,那么你就要手动编译PHP才能使用你编写的拓展了)
2. PHP源代码 (未编译的PHP代码)

在之后的文章中,我将会按一下列表假设:

1. PHP源码是位于C:\php-src
2. 你编写的”Hello World”拓展位于C:\MyPhpExtensions\hello

在Windows上编译拓展跟Linux上有点相似

你应该已经很熟悉这个过程,但这里还是列出了一个步骤清单给你:
(以下虽然是在Linux上构建编译时运行的代码,但是在Windows上其实是一样的,只是有一些指令的名字和运行方法有点不同而已)

1. 安装 php-devel 包
2. 运行 phpize 从 config.m4中生成configure 脚本 .
3. 运行 ./configure --enable-hello 生成 Makefile
4. 运行 make 开始编译拓展

(以下是在Windows上编译时要改变的东西,按步骤执行就可以顺利生成拓展了)

使用 config.w32 替代 config.m4

在Windows平台上, 使用config.w32代替config.m4,但是格式上还是有点不同。

从 config.m4 迁移到 config.w32 是非常直接的, 你仅仅需要的是把Automake的代码转换成JavaScript语法的代码。

下面是一个简单的例子:

ARG_ENABLE("hello", "Hello World support", "no");
if (PHP_HELLO != "no") {
    EXTENSION("hello", "php_hello.c", true);
}

不要忘记把EXTENSION的第三参数设置成true , 这么设定就会选择生成动态编译库(DLL)而不是静态编译到PHP代码中。

如果你想知道更多关于*.32的语法信息,你可以看看别的文件夹的*.w32文件。

使用 buildconf.bat 代替 phpize

在Windows平台上,你将会使用 buildconf.bat 代替 phpize。

打开VS的”适用于 VS 20XX 的 x86/64 本机工具命令提示”命令行工具并且运行以下代码

cd C:\php-src
buildconf.bat --add-modules-dir=C:\MyPhpExtensions

buildconf.bat 将会自动扫描 C:\MyPhpExtensions 文件夹下所有的 config.w32 文件。

随后将会生成一个 configure.bat的脚本文件.

使用 configure.bat 代替 ./configure

在Linux上,configure就仅仅是用来编译拓展用的,但是在Windows平台上configure.bat是用来编译PHP代码为exe文件的。

你需要在运行 configure.bat 时添加以下命令行选项以生成最少数量的内容，从而确保不必解决对外部库的依赖性

cd C:\php-src
configure.bat --disable-all --enable-cli --enable-hello

--disable-all 就是禁止生成其他内容,省略了输入 --disable-xxx 和 --without-xxx的必要 , --enable-cli 是启用php命令行界面 (ie php.exe) , --enable-hello 是启用编译你的拓展”Hello”

系统默认会按照TS(线程安全)模式进行编译,如果你需要NTS(线程非安全)模式进行编译,你仅仅需要加上这一条 --disable-zts ,就可以按照NTS模式进行编译。

使用 NMake 代替 Make

configure.bat 将会生成一个Windows版本的 Makefile 用作在Windows上 Make.(编译代码)

开始编译代码,仅仅需要运行以下代码即可:

nmake

这不仅仅会编译你自己的拓展,同时也会将 php.exe 编译出来。 这对于开发者来说,是一个很方便的做法,因为你需要一个相同编译环境生成出来的 php.exe,那样子才能正确安装你的PHP拓展。

实际上,为了加载到php中,您的扩展必须与php构建相匹配,条件是：

1. 系统位数 (32 or 64 位)
2. 线程是否安全 (TS 模式 或者 NTS 模式)
3. 编译器的版本 (VS9, VS11 之类的.)

如果你确实不需要编译出 php.exe, 那么你仅仅需要按以下代码运行即可:

nmake php_hello.dll

消除警告(Warnings)

在编译PHP拓展的过程中,编译器常常会报一堆警告:

如果你想禁用这些警告,你可以在 c:\php-src\win32\build\config.w32中,加入以下的代码段:

ADD_FLAG('CFLAGS', ' /wd4005 /wd4267 /wd4244 ');
ADD_FLAG('CFLAGS_BD_ZEND', ' /wd4018 /wd4101 /wd4090 /wd4273 ');
ADD_FLAG('CFLAGS_BD_MAIN', ' /wd4018 /wd4090 ');
ADD_FLAG('CFLAGS_BD_MAIN_STREAMS', ' /wd4013 ');
DEFINE('RC', '$(RC) /nologo /d _USING_V110_SDK71_');

并且,在 C:\php-src\ext\standard\config.w32中加入这行代码:

ADD_FLAG('CFLAGS_BD_EXT_STANDARD', ' /wd4047 /wd4018 ');

最后在 C:\php-src\sapi\cli\config.w32中加入下列这一行代码:

ADD_FLAG('CFLAGS_BD_SAPI_CLI', ' /wd4018 ');

笔记: 一些能够帮助你开发PHP拓展的博文[英文生肉]

• Extension Writing Part I: Introduction to PHP and Zend
• Extension Writing Part II: Parameters, Arrays, and ZVALs
• [Extension Writing Part II: Parameters, Arrays, and ZVALs continued]
• Extension Writing Part III: Resources
• Wrapping C++ Classes in a PHP Extension
• PHP Extension Writing
• PHP Extensions Made Eldrich: Working with the API ÔÇô the PHP C API
• PHP Extensions Made Eldrich: Classes
• Build your own PHP on Windows
• PHP Internals Book
• Zend API: Hacking the Core of PHP