本文详细解析了如何利用NULL截断漏洞绕过正则表达式过滤,通过具体示例展示了如何构造payload,以及解决#在URL中不被服务器接收的问题。
/x00
1.查看题目
2.进入题目,查看地址,如下图所示:
3.进行代码分析:
if (isset ($_GET['nctf'])) { //检测nctf变量是否设置并且不为NULL
if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) //ereg(用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则返回false),搜索nctf变量匹配的正则,这里的正则是首字母必须匹配到[1-9],即1-9,+表示匹配前面的表达式1次或多次,就是后面可以匹配[1-9]1次或多次。这里if需要true===False,才能执行下面的elseif语句。注:=== 全等(完全相同) $x === $y 如果 $x 等于 $y,且它们类型相同,则返回 true。
echo '必须输入数字才行';
else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE) //strops函数,查找#biubiubiu第一次在nctf变量中出现的位置,存在则返回true,不存在则返回false,这里需要if(true!==False),才能执行die()函数,输出flag,因此,需要nctf变量中包含#biubiubiu。注:!== 不全等(完全不同) $x !== $y 如果 $x 不等于 $y,或它们类型不相同,则返回 true。
die('Flag: '.$flag);
else
echo '骚年,继续努力吧啊~';
}
4.因为ereg()函数存在NULL截断漏洞,导致正则过滤被绕过,因此我们可以使用00截断
构造nctf的payload,nctf=123%00#biubiubiu,尝试一次,发现失败,如下图
5.这时url中的#后面的字符都会被浏览器解读为位置标识符。因此,这些字符都不会被发送到服务器端,于是,我们需要对#进行url编码,之后就OK了
有关url栏中#的解读:
一、#的涵义
#代表网页中的一个位置。其右面的字符,就是该位置的标识符。比如,
http://www.example.com/index.html#print
就代表网页index.html的print位置。浏览器读取这个URL后,会自动将print位置滚动至可视区域。
为网页位置指定标识符,有两个方法。一是使用锚点,比如
<a name="print"></a>,二是使用id属性,比如<div id="print" >。
二、HTTP请求不包括#
#是用来指导浏览器动作的,对服务器端完全无用。所以,HTTP请求中不包括#。
比如,访问下面的网址:
http://www.example.com/index.html#print
浏览器实际发出的请求是这样的:
GET /index.html HTTP/1.1
Host: www.example.com
可以看到,只是请求index.html,根本没有”#print”的部分。
三、#后的字符
在第一个#后面出现的任何字符,都会被浏览器解读为位置标识符。这意味着,这些字符都不会被发送到服务器端。
比如,下面URL的原意是指定一个颜色值:
http://www.example.com/?color=#fff
但是,浏览器实际发出的请求是:
GET /?color= HTTP/1.1
Host: www.example.com
可以看到,”#fff”被省略了。只有将#转码为%23,浏览器才会将其作为实义字符处理。也就是说,上面的网址应该被写成:
http://example.com/?color=%23fff
注:#知识点参考
https://blog.csdn.net/wwbmyos/article/details/23924509
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
