php hex00截断,php上传中%00截断的理解

最新推荐文章于 2024-07-07 14:37:58 发布
最新推荐文章于 2024-07-07 14:37:58 发布
阅读量654 收藏
点赞数
文章标签: php hex00截断

def hex_to_asc(ch):

return '{:c}'.format(int(float.fromhex(ch)))

for i in range(100):

s = '%02d' % i

print "s:%s,hex_to_asc(s):%s" % (s,hex_to_asc(s))

可以得到如下结果:

s:00,hex_to_asc(s):NULL

...

s:29,hex_to_asc(s):)

s:30,hex_to_asc(s):0

s:31,hex_to_asc(s):1

s:32,hex_to_asc(s):2

s:33,hex_to_asc(s):3

s:34,hex_to_asc(s):4

s:35,hex_to_asc(s):5

s:36,hex_to_asc(s):6

s:37,hex_to_asc(s):7

s:38,hex_to_asc(s):8

s:39,hex_to_asc(s):9

s:40,hex_to_asc(s):@

s:41,hex_to_asc(s):A

s:42,hex_to_asc(s):B

s:43,hex_to_asc(s):C

s:44,hex_to_asc(s):D

s:45,hex_to_asc(s):E

s:46,hex_to_asc(s):F

s:47,hex_to_asc(s):G

s:48,hex_to_asc(s):H

s:49,hex_to_asc(s):I

s:50,hex_to_asc(s):P

s:51,hex_to_asc(s):Q

s:52,hex_to_asc(s):R

s:53,hex_to_asc(s):S

s:54,hex_to_asc(s):T

s:55,hex_to_asc(s):U

s:56,hex_to_asc(s):V

s:57,hex_to_asc(s):W

s:58,hex_to_asc(s):X

s:59,hex_to_asc(s):Y

s:60,hex_to_asc(s):`

s:61,hex_to_asc(s):a

s:62,hex_to_asc(s):b

ascii码对照表中情况:

标准I表:

bin dec hex 缩写/字符 解释

0000 0000 0 00 NUL(null) 空字符

0000 0001 1 01 SOH(start of headline) 标题开始

...

0010 0000 32 20 (space) 空格

0011 0000 48 30 0

0100 0001 65 41 A

0110 0001 97 61 a

...

在计算机中,所有的数据在存储和运算时都要使用二进制数表示(因为计算机用高电平和低电平分别表示1和0),例如,像a、b、c、d这样的52个字母(包括大写)、以及0、1等数字还有一些常用的符号(例如*、#、@等)在计算机中存储时也要使用二进制数来表示,而具体用哪些二进制数字表示哪个符号,当然每个人都可以约定自己的一套(这就叫编码),而大家如果要想互相通信而不造成混乱,那么大家就必须使用相同的编码规则,于是美国有关的标准化组织就出台了ASCII编码,统一规定了上述常用符号用哪些二进制数来表示。

个人理解成ascii码只是一个对照关系,如果硬说ascii是多少,则把ascii码值当作“缩写/字符”一栏对应的值,即二进制(01000001)对应十进制(65)对应十六进制(41),而它们对应的ascii码为键盘上的可控字符“A”。

所以%00截断时的下面两种情况:

1.在url中加入%00,如http://xxoo/shell.php%00.jpg

2.在burpsuite中用burp自带的十六进制编辑工具将”shell.php .jpg”(中间有空格)中的空格由20改成00

在1中,url中的%00(形如%xx),web server会把它当作十六进制处理,然后将该十六进制数据hex(00)“翻译”成统一的ascii码值“NUL(null)”,实现了截断。

在2中,burpsuite用burp自带的十六进制编辑工具将”shell.php .jpg”(中间有空格)中的空格由20改成00,如果burp中有二进制编辑工具。

所以在用python(或其它语言)中,要想“写出”截断符(null),也就是要写出ascii码值的NUL(null),也就是要由hex(十六进制)下的00变成ascii码值,这是语言和解释器以及计算机之间的关系,正如上面的python脚本。

而php中:

——–w3c:

定义和用法

chr() 函数从指定的 ASCII 值返回字符。

ASCII 值可被指定为十进制值、八进制值或十六进制值。八进制值被定义为带前置 0,而十六进制值被定义为带前置 0x。

——–w3c (w3c这里的说法把ascii值看作有不同的进制表示形态的各进制值)

其中chr(61)为=,chr(061)为1,chr(0x61)为a,chr(128)=chr(0x80),chr(255)=chr(0xff)

script 1

for($k=0;$k<=255;$k++)

{

$a='shell.php'.chr($k)."1.jpg";

echo 'k:'.$k.' '.'$a:'.$a.' '.'iconv("UTF-8","gbk",$a):'.iconv("UTF-8","gbk",$a)."

";

}

?>

其中iconv(“UTF-8″,”gbk”,$a)或是iconv(“UTF-8″,”gb2313”,$a)都会在chr(128)到chr(255)之间截断,使结果为shell.php,如图:

9c47251a7a05e552035b3321b5684b91.png

其中128和255为十进制数据表示,此处NUL(nul)(chr(0x00))并不能截断iconv函数,而是chr(128)-chr(255),也即chr(0x80)-chr(0xff)截断iconv函数.或者用如下代码中hex2asc函数:

script 2

function asc2hex($str) {

return '/x'.substr(chunk_split(bin2hex($str), 2, '/x'),0,-2);

}

function hex2asc($str) {

$str = join('',explode('/x',$str));

$len = strlen($str);

for ($i=0;$i

return $data;

}

for($k=0;$k<256;$k++)

{

$a=sprintf("/x%02x",$k);

echo '$k:'.$k.' ';

echo '$a:'.$a.' ';

echo 'hex2asc($a):'.hex2asc($a);

$file_name="shell.php".hex2asc($a)."1.jpg";

echo '$file_name:'.$file_name.' ';

$file_name=iconv("UTF-8","gb2312",$file_name);

echo 'iconv("UTF-8","gb2312",$file_name):'.$file_name."

";

}

/*

echo hex2asc('/x00');

*/

?>

执行结果:

d23135cdfc0bc520a65a9091bffe041c.png

同样是从128-255可以实现截断。

相同情况下的python脚本为:

def hex_to_asc(ch):

return '{:c}'.format(int(float.fromhex(ch)))

for i in range(256):

s = '%02x' % i

print "s:",s," ",

print "hex_to_asc(s):",hex_to_asc(s)

#print "s:%s,hex_to_asc(s):%s" % (s,hex_to_asc(s))

具体截断效果可用在post数据到web server中,看web server目录处理结果,可参考http://www.wooyun.org/bugs/wooyun-2014-048293

本文中代码可见:https://github.com/xinghuacai/-00-.git

注意:本文来自杂术馆。本站无法对本文内容的真实性、完整性、及时性、原创性提供任何保证,请您自行验证核实并承担相关的风险与后果!

CoLaBug.com遵循[CC BY-SA 4.0]分享并保持客观立场,本站不承担此类作品侵权行为的直接责任及连带责任。您有版权、意见、投诉等问题,请通过[eMail]联系我们处理,如需商业授权请联系原作者/原网站。

余昌黔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 00截断,文件上传之\00截断与文件包含之%00截断 文件包含漏洞详解 – jinglingshu的博客...
weixin_39640845的博客
03-09 3725
首先要明确\00截断与%00截断的关系:00截断就是将上传文件的文件名或路径名使用ascii码值为0的字符进行截断来达到突破上传限制的目的,而%00一般用在URL用于截断url来进行文件包含。两者之间的关系是:%00是ascii值为0字符的url编码形式,两者原理其实是一样的。一、\00的路径截断以网站http://www.hongkonggift.com为例,该网站存在注入,通过注入获取管理...
挖洞姿势 | 深度聊聊PHP下的“截断”问题
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-28 1080
0×01 起因 学弟有天在群里说起上传的%00截断的一些问题,就想起之前自己在这个问题踩过坑,想起了自己曾经的flag说要写文章,一直没写,现在来填坑了。 0×02 经过 源码理解: //test.php<?phpinclude"1.txt\000.jpg";?> //1.txt<?phpecho'helloworld';?> 上面的示例代码在...
白名单绕过(%00截断)全网都不会详细讲解的截断原理
m0_58351659的博客
04-01 8600
白名单绕过(%00截断
文件上传漏洞: 绕过方式及原理[表格]
最新发布
h1008685的博客
07-07 218
【代码】文件上传漏洞: 绕过方式及原理[表格]
00截断原理
weixin_45522644的博客
07-17 4071
0x00截断原理: 0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。这个可以用在对文件类型名的绕过上。 但要注意是文件的16进制内容里的00,而不是文件名的00 !!!就是说系统是按16进制读取文件(或者说二进制), 遇到ascii码为零的位置就停止,而这个ascii码为零的位置在16进制是00,用0x开头表示16进制,也就是所说的0x00截断。 %00是被服务器解码为0x00发挥了截断作用。
[NCTF2019]SQLi——%00截断的“呼唤”
Mrs_H的博客
11-01 802
前言 本来是想趁这个时间点把逆向的作业做一做的,哪想到我装有工具的虚拟机突然暴毙了。抱着个电脑没什么可以做的,没事闲的又做了道sql的题目,也算是弥补了昨天没做题目的遗憾。 正文 关于%00的截断原理是这样的: 0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。 但是这道题我们不是通过%00后面的内容去绕过文件格式的过滤,我们是要通过%00帮我们把最后的引号给屏蔽掉,这是我们的最终目的。 先来看题。 题目的作者让我们去构建
Hexdump-1.2.0_hexdump_php_
10-04
hexdump for phpexample <?phprequire_once 'Hexdump.php';hexdump("hello world!\n");====================00000000: 68 65 6c 6c 6f 20 77 6f 72 6c 64 21 0a |hello.world!.|
php Hex RGB颜色值互换的使用
10-27
本篇文章是对在phpHex RGB颜色值互换的使用进行了详细的分析介绍。需要的朋友参考下
PHP hex2bin()函数用法讲解
01-02
PHP hex2bin() 函数 实例 把十六进制值转换为 ASCII 字符: <?php echo hex2bin(48656c6c6f20576f726c6421); ?> 以上实例输出结果: Hello World! 定义和用法 hex2bin()函数把十六进制值的字符串转换为 ...
PHP实现将颜色hex值转换成rgb的方法
10-22
主要介绍了PHP实现将颜色hex值转换成rgb的方法,涉及PHP针对字符串与数组的数学运算相关操作技巧,需要的朋友可以参考下
【文件上传00截断详解
热门推荐
redwand的博客
02-03 2万+
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。00截断通常用来绕过web软waf的白名单限制
php 00截断,00截断之追本溯源
weixin_39620653的博客
03-09 630
0x00,%00,/00 之类的截断,本质都是一样的,只是不同表现方式而已。00截断在我写这篇文章之前,一直是很模糊的概念。看到别人利用成功,等到真要使用时又手足无措。用了一些时间学习了一下原理,本文引用比较多,仅仅是为了再次梳理一遍,不作为任何商业用途。截断原理截断漏洞出现的核心就是chr(0),这个字符不为空 (Null),也不是空字符 (“”),更不是空格。当程序在输出含有 chr(0)变...
从源码级别了解PHP %00截断原理
zhangzhuangtongxue的博客
10-10 1万+
一:漏洞简介     PHP00截断是5.2.x版本的一个漏洞,当用户输入的url参数包含%00经过浏览器自动转码后截断后面字符。 二:漏洞示例代码      三:漏洞源码分析 四:修复代码分析
php截断绕过姿势
xiaopan233的博客
02-11 4959
1、%00截断 这个只有php &lt;= 5.3的才有。高的就不行了。所以就先不试了。(懒得下php5.3了= =)大概就是如下例: test.php%00.jpg 这是程序就会去掉%00后面的字符串。所以程序读取时候就变成了 test.php 2、0x00截断 原理是,程序读取文件名时。遇到0x00。就认为文件名结束了。因为0x00就是字符0.也就相当于false和空。类似于c语言...
php字符串和0 == 判断 永远为true
keainanshengl的博客
10-12 4186
php -r "var_dump( 'a' == 0 );"   true
JS:Truncate a string(截断字符串)
Schon_zh的博客
12-27 1367
Truncate a string 截断字符串 (用瑞兹来截断对面的退路) 如果字符串的长度比指定的参数num长,则把多余的部分用…来表示。 切记,插入到字符串尾部的三个点号也会计入字符串的长度。 但是,如果指定的参数num小于或等于3,则添加的三个点号不会计入字符串的长度。 当你完成不了挑战的时候,记得开大招’Read-Search-Ask’。 这是一些对你有帮助的资源: String.slic...
CSS截断字符
weixin_30511107的博客
07-07 140
white-space:nowrap 不换行table里面使用style="width:400px; overflow:hidden; text-overflow:ellipsis;"是没效果的 嵌套DIV或者其他的..居然还有nobr 方便<div style="width:400px; overflow:hidden; text-overflow:ellipsis;"><a ...
截断字符串或二进制数据
lsq_java_4的博客
11-03 1万+
问题描述:在提交表单数据到数据库的时候后台报错(将截断字符串或二进制数据)       问题分析:出现这种问题的原因可能是因为输入的字符串长度超过了数据库能够输入的字符串的长度。       解决办法:修改数据库对应字段的长度。             一、直接设计表修改。             二、通过语句修改。示例:alter table 表名 alter column 列名 va
php md5 hex
06-08
PHP 的 `md5()` 函数可以用来计算指定字符串的 MD5 散列值。而 `bin2hex()` 函数可以将二进制字符串转换为十六进制字符串。因此,要将一个字符串转换为其 MD5 散列值的十六进制表示,可以使用以下代码: ```php $str = 'hello world'; $md5 = md5($str); $hex = bin2hex($md5); echo $hex; // 输出:5eb63bbbe01eeed093cb22bb8f5acdc3 ``` 以上代码,首先定义了一个字符串 `$str`,然后使用 `md5()` 函数计算出了它的 MD5 散列值 `$md5`,最后使用 `bin2hex()` 函数将 `$md5` 转换为了十六进制字符串 `$hex` 并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值