00截斷繞過是一種利用特定技巧繞過PHP審計的方法，它允許攻擊者在注入點處執行任意代碼。通過添加特殊的字符來終止SQL語句并添加惡意代碼，攻擊者可以獲得對數據庫的訪問權限，甚至執行遠程命令。下面將詳細介紹00截斷繞過的原理和一些具體的例子。

在介紹00截斷繞過之前，先來看一個簡單的例子。假設我們有一個簡單的登錄頁面：

<?php
$username = $_POST['username'];
$password = $_POST['password'];
$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
// 執行查詢并驗證結果
// ...
?>
<form action="login.php" method="POST"><input type="text" name="username" placeholder="Username" />
<input type="password" name="password" placeholder="Password" />
<input type="submit" value="Login" />
</form>

此代碼片段從請求中獲取用戶名和密碼，并將其插入到SQL查詢中。然而，由于未進行任何驗證或過濾，攻擊者可以利用00截斷繞過來注入任意代碼。

在實施00截斷繞過之前，我們需要了解一些SQL語法。在大多數SQL查詢中，分號（;）被用作命令終止符。如果存在多個查詢，將以分號分隔。攻擊者可以利用這一點來終止原始查詢并添加新的惡意代碼。

下面是一個例子，演示了00截斷繞過的原理：

username=admin%27%20OR%201=1;--
password=

假設攻擊者將以上Payload發送到登錄頁面，PHP代碼將生成以下查詢：

SELECT * FROM users WHERE username = 'admin' OR 1=1;--' AND password = ''

在這個查詢中，用戶名字段被注入的代碼包圍，以繞過用戶名和密碼驗證。由于“OR 1=1”條件始終為真，查詢將返回所有用戶記錄，鑒權被繞過。

另一個常見的應用是繞過文件擴展名。許多Web應用程序根據文件擴展名來確定文件類型并采取相應的處理方式。攻擊者可以通過00截斷繞過來修改文件名和擴展名，以執行意外的操作。下面是一個例子：

filename=sample.jpg%00.php

在這個例子中，攻擊者將“sample.jpg”作為文件名的一部分，并使用00截斷繞過來添加“.php”擴展名。在某些情況下，服務器將檢查文件的擴展名，但由于繞過截斷，最終執行的實際文件將是“sample.jpg.php”，而不是預期的“sample.jpg”。

綜上所述，00截斷繞過是一種危險的攻擊技術，可以繞過PHP審計并執行惡意代碼。為了防止00截斷繞過攻擊，開發人員應該始終對用戶輸入進行驗證和過濾，確保代碼安全。另外，在編寫SQL查詢和處理文件時，應該使用參數化查詢和白名單檢查來防止此類攻擊。