php字符解析和$_SERVER函数的trick

在php中使用$_GET或者$_POST进行传值时,比如?f=a会变成Array([f] => “a”),但是值得注意的是查询字符串在解析的过程中会将某些字符删除或用下划线代替。/?%20news[id%00=42会转换为Array([news_id] => 42),那如果有一些过滤或者是WAF规则是当news_id参数的值是一个非数字的值则拦截

可以尝试用以下语句进行绕过

1
/news.php?%20news[id%00=42"+AND+1=0--

上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。
PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

%20foo_bar%00 foo_bar foo_bar
foo%20bar%00 foo bar foo_bar
foo%5bbar foo[bar foo_bar
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
foreach(
[
"{chr}foo_bar",
"foo{chr}bar",
"foo_bar{chr}"
] as $k => $arg) {
for($i=0;$i<=255;$i++) {
echo "\033[999D\033[K\r";
echo "[".$arg."] check ".bin2hex(chr($i))."";
parse_str(str_replace("{chr}",chr($i),$arg)."=bla",$o);
usleep(5000);
if(isset($o["foo_bar"])) {
echo "\033[999D\033[K\r";
echo $arg." -> ".bin2hex(chr($i))." (".chr($i).")\n";
}
}
echo "\033[999D\033[K\r";
echo "\n";
}

以上看大佬的博客,搜集到的脚本,可以爆破不影响字符解析的一些符号
图片

parse_str函数通常用于解析get.post和cookie中,如果网站允许接收带有特殊字符的参数,那么可以用这个函数进行解析,经过测试,foo%20bar和foo+bar等效,均解析为foo bar。


$_SERVER 函数中QUERY_STRING和REQUEST_URI区别

自己随便建立一个站,localhost/test(打开这里的index.php)

结果:

$_SERVER[‘QUERY_STRING’] = “”;

$_SERVER[‘REQUEST_URI’]  = “/test/“;

$_SERVER[‘SCRIPT_NAME’]  = “/test/index.php”;

$_SERVER[‘PHP_SELF’]     = “/test/index.php”;

在原有url上加上查询例如

localhost/test?p=2(附带查询)

结果:

$_SERVER[‘QUERY_STRING’] = “p=2”;

$_SERVER[‘REQUEST_URI’]  = “/test/?p=2”;

$_SERVER[‘SCRIPT_NAME’]  = “/test/index.php”;

$_SERVER[‘PHP_SELF’]     = “/test/index.php”;

localhost/test?p=2&q=3

结果:

$_SERVER[‘QUERY_STRING’] = “p=2&q=3”;

$_SERVER[‘REQUEST_URI’]  = “/test/index.php?p=2&q=3”;

$_SERVER[‘SCRIPT_NAME’]  = “/test/index.php”;

$_SERVER[‘PHP_SELF’]     = “/test/index.php”;

由实例可知:

$_SERVER[“QUERY_STRING”]  获取查询 语句,实例中可知,获取的是?后面的值

$_SERVER[“REQUEST_URI”]   获取localhost后面的值,包括/

$_SERVER[“SCRIPT_NAME”]   获取当前脚本的路径,如:index.php

$_SERVER[“PHP_SELF”]      当前正在执行脚本的文件名