PHP下的"截断"问题深度解析<\/h1>

0x00 前言<\/h2>
本文详细分析PHP环境下的截断问题，包括%00截断和iconv函数截断两种主要类型，适用于PHP安全研究人员和Web应用开发者。<\/p>

0x01 %00截断原理<\/h2>

漏洞触发条件<\/h3>

PHP版本低于5.3.4<\/li>

涉及文件操作函数(include\/require\/file_get_contents等)<\/li> <\/ul>

示例代码分析<\/h3>

\/\/ test.php
<\/span><\/span><\/span><\/span><?<\/span>php<\/span> include<\/span>"1.txt<\/span>\000<\/span>.jpg"<\/span>; ?><\/span>
<\/span><\/span><\/span>
<\/span><\/span><\/span>\/\/ 1.txt
<\/span><\/span><\/span><?php echo 'helloworld'; ?>
<\/span><\/span><\/span><\/code><\/pre>在PHP<5.3.4环境下，上述代码会输出"helloworld"，因为\000(空字符)截断了后续字符。<\/p>
PHP内核执行过程<\/h3>


编译过程<\/strong>：<\/p>

通过zend_compile_file<\/code>获取文件内容<\/li>
使用zendparse<\/code>进行语法和词法解析<\/li>
lex_scan<\/code>扫描token<\/li>
<\/ul>
<\/li>

执行过程<\/strong>：<\/p>

zend_execute<\/code>执行编译后的代码<\/li>
通过ZEND_INCLUDE_OR_EVAL_SPEC_CONST_HANDLER<\/code>处理include操作<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞修复机制<\/h3>
PHP 5.3.4+版本中，当检测到文件名strlen长度与语法分析长度不一致时(存在截断字符)，会输出"打开文件失败"。<\/p>
0x02 %00截断利用方式<\/h2>
两种主要利用方式<\/h3>


URL中加入%00<\/strong>：<\/p>

示例：http:\/\/xxxx\/shell.php%00.jpg<\/code><\/li>
Web服务器将%00解码为ASCII NULL字符<\/li>
<\/ul>
<\/li>

BurpSuite十六进制编辑<\/strong>：<\/p>

将"shell.php .jpg"中间空格(0x20)改为0x00<\/li>
使用二进制编辑工具直接修改<\/li>
<\/ul>
<\/li>
<\/ol>
受影响函数<\/h3>

include\/require<\/li>
file_get_contents<\/li>
file_exists<\/li>
所有URL参数可控的场景<\/li>
<\/ul>
0x03 iconv函数截断<\/h2>
前置知识<\/h3>

PHP中所有字符都是二进制串<\/li>
chr()<\/code>函数根据ASCII值返回字符<\/li>
PHP5.4前，iconv遇到非法字符会截断<\/li>
<\/ul>
漏洞原理<\/h3>
$a =<\/span> 'shell.php'<\/span>.<\/span>chr<\/span>($k).<\/span>"1.jpg"<\/span>;
<\/span><\/span>iconv<\/span>("UTF-8"<\/span>,"gbk"<\/span>,$a);  \/\/ 在chr(128)-chr(255)间会截断
<\/span><\/span><\/span><\/code><\/pre>实际案例(SiteStar Pro)<\/h3>

文件上传时检查后缀名正则：<\/li>
<\/ol>
if<\/span>(!<\/span>preg_match<\/span>('\/\.('<\/span>.<\/span>PIC_ALLOW_EXT<\/span>.<\/span>')$\/i'<\/span>, $file_info["name"<\/span>])) {
<\/span><\/span>    \/\/ 错误处理
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>
漏洞触发点：<\/li>
<\/ol>
$struct_file['name'<\/span>] =<\/span> iconv<\/span>("UTF-8"<\/span>, "gb2312"<\/span>, $struct_file['name'<\/span>]);
<\/span><\/span><\/code><\/pre>
上传shell.php{%80-%99}.jpg<\/code>会被截断为shell.php<\/code><\/li>
<\/ul>
0x04 防御建议<\/h2>

升级PHP至5.3.4+版本<\/li>
对用户输入进行严格过滤<\/li>
避免直接使用用户提供的文件名进行文件操作<\/li>
对iconv函数转换结果进行验证<\/li>
实施白名单机制检查文件扩展名<\/li>
<\/ol>
0x05 总结<\/h2>
PHP截断问题主要分为两类：<\/p>

%00截断：影响PHP<5.3.4，通过空字符截断文件名<\/li>
iconv截断：影响PHP<5.4.0，编码转换时截断非法字符<\/li>
<\/ol>
理解这些漏洞原理有助于开发更安全的PHP应用，并有效防御相关攻击。<\/p>

PHP下的"截断"问题深度解析<\/h1>

0x00 前言<\/h2> 本文详细分析PHP环境下的截断问题，包括%00截断和iconv函数截断两种主要类型，适用于PHP安全研究人员和Web应用开发者。<\/p>

0x01 %00截断原理<\/h2>

漏洞修复机制<\/h3> PHP 5.3.4+版本中，当检测到文件名strlen长度与语法分析长度不一致时(存在截断字符)，会输出"打开文件失败"。<\/p>

0x02 %00截断利用方式<\/h2>

0x03 iconv函数截断<\/h2>

0x00 前言<\/h2>
本文详细分析PHP环境下的截断问题，包括%00截断和iconv函数截断两种主要类型，适用于PHP安全研究人员和Web应用开发者。<\/p>

漏洞修复机制<\/h3>
PHP 5.3.4+版本中，当检测到文件名strlen长度与语法分析长度不一致时(存在截断字符)，会输出"打开文件失败"。<\/p>