php代码审计片段 02 绕过过滤的空白字符

源码点这：bowu678/php_bugs: PHP代码审计分段讲解 (github.com)

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

要彻底吃透这道题，你得先备好这几样“家伙事儿”：扎实的PHP基础知识、对特定函数行为的深刻理解，以及对URL编码和ASCII码的灵活运用。当然，如果你还能用Python写个简单的脚本（比如会用Requests库发个请求），那效率就更高了。

甜点部分：前置处理逻辑

先来看看代码入口处的“开胃菜”：

ini_set(“display_error”, false);    #关闭错误报告
error_reporting(0); //关闭所有PHP错误报告

foreach([$_GET, $_POST] as $global_var) {
    foreach($global_var as $key => $value) {
        $value = trim($value);//trim — 去除字符串首尾处的空白字符（或者其他字符）
        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串，addslashes — 使用反斜线引用字符串
    }
}

这段代码干了件什么事呢？它把通过GET和POST方式传进来的所有参数，都“清洗”了一遍。具体来说，先用trim函数把值首尾的空白字符去掉，然后，如果这个值是个字符串，就用addslashes给它加上反斜线转义，以防SQL注入。处理完的结果，都存进了$req这个数组里。

举个例子，如果请求的URL是xxx.php?a=2，那么$_GET[“a”]是2，经过这一套流程后，$req[“a”]也等于2（只不过数字2不会被addslashes处理）。这个$req数组，就是后面正餐部分要用的“食材”。

正餐部分：核心校验函数

接下来是硬核的主菜。首先登场的是一个自定义函数：is_palindrome_number($number)。顾名思义，它用来判断一个数是不是回文数。它的实现方式很经典：先把数字转成字符串，然后从字符串的两端向中间逐个字符比较。

通读整个代码逻辑，你会发现，要想成功拿到Flag，必须同时满足以下四个条件：

条件①：is_numeric($_REQUEST[‘number’]) == 0
这意味着，超全局变量$_REQUEST中的number参数，经过is_numeric函数判断后，结果必须为“假”（即不是数字或数字字符串）。

条件②：$req[‘number’] == strval(intval($req[‘number’]))
$req数组里的number值，先被intval转换成整数，再被strval转回字符串，这一通操作之后，得到的结果必须和原始值严格相等。

条件③：$value1 == $value2
其中：
$value1 = intval($req[“number”])
$value2 = intval(strrev($req[“number”]))
这个条件要求，$req[“number”]直接转成整数的值，必须等于其字符串反转后再转成整数的值。

条件④：is_palindrome_number( $req[“number”] ) == 0
最后，把$req[“number”]丢进回文数判断函数，结果必须返回0，也就是说，函数必须判定它不是回文数。

看到这里，矛盾点就出来了：你需要构造一个number，它既要能通过函数判断“不是回文数”（条件④），又要满足其本身和反转后的整数值相等（条件③），这听起来几乎像个“不可能任务”。

直接传number=11这样的回文数肯定不行，第一个条件就过不去，is_numeric(“11”)会返回true。

突破口在于变量来源的差异。仔细看，只有条件①的number是从$_REQUEST里取的，而条件②、③、④的number都来自那个被处理过的$req数组。这就是关键所在！

我们可以利用空字符%00来制造差异。传入number=%0011，对于条件①：$_REQUEST[“number”]接收到的字符串是“%0011”，is_numeric(“%0011”)结果为false，条件满足。而$req数组在处理时，trim函数会去掉首尾的空白字符，但%00（空字符）并不在trim的默认去除列表里吗？这里需要注意，trim默认去除的是空白字符（如空格、制表符等），空字符\0通常不被认为是“空白字符”，但有些环境或配置下可能被处理。更常见的绕过思路是，$_REQUEST在接收参数时会自动对URL解码，%00被解码为空字符，而空字符在字符串比较中有时会被忽略或产生截断效果，导致is_numeric看到的是“11”，从而判断为真？不，这里需要精确测试。实际上，is_numeric(“%0011”)在PHP中会对字符串进行判断，开头的%00（空字符）会导致其判断为非数字字符串，从而满足条件①。同时，这个空字符在后续$req的处理中可能被保留或产生其他影响。

但仅用%00还不够，因为11依然是回文数，无法满足条件④。

所以，我们需要在%00和11之间，再插入一个“神奇”的字符。这个字符需要能“欺骗”intval、strrev、strval这些函数（用于条件②③），让它们忽略它，但同时又能让自定义的回文判断函数is_palindrome_number（条件④）认为字符串不对称。

经过测试，有两个字符可以胜任这个角色：%0c（换页符）或者%2B（加号+）。

因此，最终的有效载荷可以是：number=%00%0c11 或者 number=%00%2B11。

%2B（加号）这个选择可以从逻辑上推导出来。因为intval()函数对加号的处理很特别：intval(“+123”)结果是123，intval(“123+”)结果也是123，intval(“1+23”)则得到1。也就是说，intval在转换时，遇到非数字字符（包括加号在非开头位置）就会停止。把加号放在数字前面，就能让intval(“+11”)和intval(strrev(“+11”))（即intval(“11+”)）都得到11，从而满足条件③。同时，字符串“+11”不是回文（“+11”反转是“11+”），满足了条件④。

模糊测试（Fuzzing）思路

除了逻辑推导，我们还可以用“暴力美学”——模糊测试来寻找所有可能的解。我们的目标是找出所有能放在%00和11之间，并满足所有条件的ASCII字符。

基本ASCII码有128个，扩展ASCII码还有128个，总共256个字符，对应十六进制从%00到%FF。

下面这段Python脚本展示了如何自动化这个过程。理解这段代码的关键在于Python的“字符串切片”和“格式化输出”：

import requests

for i in range(256):
    i = str(hex(i))
    if len(i) == 3: # 例如0x1，需要去掉‘x’
        i = i[0:1:] + i[2::]
    else: # 例如0x10，需要去掉‘0x’
        i = i[2::]
    i = “%” + i
    # print(i)
    number = f“%00{i}11”
    re = requests.get(f“http://127.0.0.1/php_bugs/02%20%E7%BB%95%E8%BF%87%E8%BF%87%E6%BB%A4%E7%9A%84%E7%A9%BA%E7%99%BD%E5%AD%97%E7%AC%A6.php?number={number}”)
    # print(re.text)
    if “x” in re.text: # 假设成功时页面包含‘x’（或Flag标识）
        print(i)

这个脚本会遍历所有可能的单字节字符，构造形如%00{XX}11的payload进行测试，并根据返回页面内容判断是否成功，从而找出所有可用的特殊字符。