关于00截断原理的一些思考

在做CTF web题时，遇到了几道有关00截断的题目，但是有 %00截断和0x00截断，一时很是懵逼。

最后自己做了些实验，发现两者是同一个原理，这里拿出来给大家分享下。

一，0x00截断

0x00是十六进制表示方法，是ascii码为0的字符，在有些函数处理时，会把这个字符当做结束符。这个可以用在对文件类型名的绕过上。一道南邮ctf的题目：

如果上传jpg文件：

如果上传php文件：

这里就要考虑绕过了，用burpsuite截取的上传过程如下：

在尝试对文件后缀名下手无果后，开始对文件的目录 /upload/下手：

在目录后添加1.php后发现，返回结果中 basename 变为了1.php1.jpg,

可以大胆的猜测是文件名拼接在目录名后再进行 php后缀的验证。

这是后就要利用0x00截断原理了，具体原理是 系统在对文件名的读取时，如果遇到0x00，就会认为读取已结束。

但要注意是文件的16进制内容里的00，而不是文件名中的00 ！！！就是说系统是按16进制读取文件（或者说二进制），

遇到ascii码为零的位置就停止，而这个ascii码为零的位置在16进制中是00，用0x开头表示16进制，也就是所说的0x00截断。

具体操作：

这里在php的后面添加了一个空格和字母a,其实写什么都可以，只是一般空格的16进制为0x20，比较好记，加个a好找到空格的位置，如果写个任意字符，再去查他的16进制表示也可以。然后打开hex,修改16进制内容：

修改完成后，原来的文本显示也发生了 变化：

那个方框的位置就是0x00，只不过这是一个不可见字符，无法显示。

当系统读取到方框，也就是0x00时，认为已经结束，不会再读取后面将要拼接的1.jpg,认为是php文件，完成绕过：

这就是0x00的原理，总之就是利用ascii码为零这个特殊字符，让系统认为字符串已经结束。

那什么又是%00截断呢？

二，%00截断

这是个困扰了我一个下午的问题，网上的解释也是不太明白，所以还是自己做了个小实验，先看题目，仍然是南邮ctf的题目：

分析可知要求：get传入的nctf的值 经ereg验证 必须是数字，但是经stropos匹配又必须含有#biubiubiu,

这里是利用ereg函数的漏洞，但应该称为0x00漏洞，而不是%00漏洞，先看操作，再解释。

单纯传入数字没有用

这里还有个小问题，就是浏览器会对#的编码问题，浏览器会把#编码为空，也就没有发送出#，应为#是url编码里的特殊字符，

应写成url编码格式，查询可知为%23.

现在问题是解决了，可%00到底干了什么呢？

首先说说url编码，url发送到服务器后就被服务器解码，这是还没有传送到那个验证函数，也就是说验证函数里接受到的不是】

%00这个字符，而是%00解码后的内容，那么%00解码成什么了呢？找个url解码网站试了下，得到如下结果。

这个方框是什么，好像与0x00那个一样诶，我猜就是解码成了0x00,下面看小实验：

我将题目的验证代码复制下来稍微修改，放到本地搭建的服务器上：

这当然是没有效果的，前面分析过了，验证函数得到的应该是%00解码后的结果，而不是字符串%00，这里验证一下，

给像我这样的初学者有个深刻的印象。在服务器运行效果：

接下来按照我的思路，%00应该是被解码为0x00,那就手动修改为0x00,与前面的思路一样，这里还是找一个已知16进制字符，然后改为00，为了对比，这次使用%：

所以只要找到文件的16进制中为25的位置改为00即可，这里用HXD软件打开：

修改后：

保存，用sublim看看代码情况：

已被改为0x00,拿到服务器上运行：

成功绕过，可见%00是被服务器解码为0x00发挥了截断作用。

就这些内容吧，都是比较基础的，自己也是刚入门，感觉好多东西网上写的也不清楚，自己试验了下，

有问题的地方欢迎评论。

转载说明出处。