php_base64_decode的容错
base64解码函数可以接受的字符范围是[A-Za-z0-9+/=],但是如果php的base64_decode遇到了不在此范围内的字符,php就会直接跳过这些字符,只把在此范围的字符连起来进行解码。
我们来做个试验:
1 | `$i` `= 0 ;``$data` `= ``"upload_progress_ZZ"``;``while``(true){`` ``$i` `+= 1;`` ``$data` `= ``base64_decode``(``$data``); `` ``var_dump(``$data``);`` ``sleep(1);`` ``if``(``$data` `== ``''``){`` ``echo` `"一共解码了:"``.``$i``,``"次\n"``;`` ``break``;`` ``}``}` |
运行结果如下:
1 | `string(12) "��hi�k�``�Y"``string(3) ``"�)"``string(0) ``""``一共解码了:3次` |
upload_progress_ZZ一共是18个字符,但是由于base64_decode跳过了_,所以是剩下16个字符,解码一次之后是12个字符,又因为12个字符中只有4个在范围内,所以再次解码之后变为了3个字符,这三个字符都不在范围内,所以解码之后为空字符串。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Rick!
相关推荐
2020-03-19
PHP-RCE-Bypass
无参数函数执行 https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/ 大致思路如下: 利用超全局变量进行bypass,进行RCE 进行任意文件读取 什么是无参数函数RCE 传统意义上,如果我们有 1eval($_GET['code']); 即代表我们拥有了一句话木马,可以进行getshell,例如 但是如果有如下限制 1if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { ...
2020-02-27
PHP参数字符串解析特性
利用PHP的字符串解析特性Bypass 我们知道PHP将查询字符串(在URL或正文中)转换为内部GET或的关联数组_GET或的关联数组GET或的关联数组_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过: 1/news.php?%20news[id%00=42"+AND+1=0-- 上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。 PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 1.删除空白符 2.将某些字符转换为下划线(包括空格) 例如: User input Decoded...
2020-02-28
PHP反序列化及扩展
phar扩展
2020-02-22
php_PDO_prepare安全性
Are PDO prepared statements sufficient to prevent SQL injection? addslashes() Versus mysql_real_escape_string() SQL injection that gets around mysql_real_escape_string() GBK内码查询 宽字节注入 上文中提到了这种类型的攻击对于任何字符编码都是可能的,只要这个编码集中有一个以0x5c结尾的有效多字节字符,并且0x27是单字节字符': 例如gbk中0xbf5c是一个有效的多字节字符,而0x27是一个有效的单字符',而utf-8不符合这样的要求。符合要求的编码集有:big5, cp932, gb2312, gbk and...
2019-12-07
php中的session.upload_progress
hitcon2018 one-line-php-challenge php中的session.upload_progress php中的session.upload_progress 这个功能在php5.4添加的,所以测试的小伙伴,注意下版本哦。 在php.ini有以下几个默认选项 1234561. session.upload_progress.enabled = on2. session.upload_progress.cleanup = on3. session.upload_progress.prefix = "upload_progress_"4. session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"5. session.upload_progress.freq = "1%"6. session.upload_progress.min_freq =...
2020-03-05
php伪协议
文件包含函数:include、require、include_once、require_once、highlight_file 、show_source 、readfile 、file_get_contents 、fopen 、file 。 首先归纳下常见的文件包含函数:include、require、include_once、require_once、highlight_file 、show_source 、readfile 、file_get_contents 、fopen 、file,计划对文件包含漏洞与php封装协议的利用方法进行总结,本篇先总结下一些封装协议,涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://,后续再对每个文件包含函数进一步进行探讨。 环境概要: PHP.ini: allow_url_fopen :on 默认开启 该选项为on便是激活了 URL 形式的 fopen 封装协议使得可以访问 URL...
评论