PHP Type Confusion 漏洞:利用 Union Types 的 Zval 位域非预期转换进行内存操作 大家好!今天我们来深入探讨一个在 PHP 中比较隐蔽但威力强大的安全漏洞:利用 Union Types 导致的 Zval 位域非预期转换进行内存操作,也就是常说的 Type Confusion 漏洞。这个漏洞利用了 PHP 动态类型的特性和 Union Types 引入后对 Zval 结构的改变,攻击者可以精心构造输入,导致 PHP 引擎将一个变量错误地解释为另一种类型,从而实现任意内存读写,最终导致代码执行。 1. PHP 动态类型系统与 Zval 结构 PHP 是一种动态类型语言,这意味着变量的类型不是在声明时确定的,而是在运行时根据变量的值来确定的。PHP 的底层实现中,使用 zval 结构体来存储变量的值和类型信息。zval 结构体在不同的 PHP 版本中可能有所不同,但基本概念保持一致。下面我们以 PHP 7.x 为例,说明 zval 的结构: typedef struct _zval_struct { zend_value value; /* 变量的值 */ …