本文探讨宽字符编码问题,指出PHP转义单引号后,在GBK等宽字符编码下,后台处理程序会将特定字符组合视为宽字符,导致注入漏洞。理论上,数据库连接代码设置GBK或默认编码为GBK时,程序中可能存在大量注入漏洞,还给出了测试方法。
昨天花了点时间去看宽字符的问题,才发现之前的理解一直有误。
%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠
变成了 %df’
其中\的十六进制是 %5C ,很好,现在 %df’ = %df%5c%27
其实这也没什么,可是问题来了, 如何对待这3个字符?
取决于后台处理程序的默认编码(包括GBK在内的所有宽字符编码,具体可以看neeao大牛blog上的fuzz结果,貌似有4个编码都会有问题?本文出于方便的角度只说GBK为)。
MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是“寇”
现在 %df’ = %df%5c%27=寇’
总结一下:
%df’ --》 %df’ = %df%5c’ = 寇’
%df 并不是唯一的一个字符,应该是% 81-%FE 之间任意的一个都可以。
单引号在注入里绝对是个好东西,尤其是,很多程序员过分依赖于GPC或者addslashes的转义。理论上说,只要数据库连接代码设置了GBK或者是默认编码是GBK,现在程序里到处都是注入漏洞。(事实上,这种变换在XSS等领域也发挥了巨大的作用,在PHP和Linux后台程序结合的时候,还可能造成命令注入)
可以参考的测试方法(替代原来的 and 1=1 ):
%df%27 or 1=1/*
%df%27 or 1=2/*
不过,在实际环境里,我Google了好久,找到的几个门户网站注入点,都是没开启GPC,直接就能注的,被kj大牛鄙视以后,很尴尬的停止了这种重复性同质化体力劳动。
理解这个漏洞,不应该去看80sec的漏洞公告,或者上次那个什么总结。
扫一扫
01-27
4147
4147
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
