from:
[url]http://blog.xdxf.net/show-383-1.html[/url]
by 职业欠钱
昨天花了点时间去看宽字符的问题,才发现以前的理解一直有误。
%df' 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\
变成了 %df\'
其中\的十六进制是 %5C ,很好,如今 %df\' = %df%5c%27
其实这也没什么,但是问题来了, 如何对待这3个字符?
取决于后台处理程序的默认编码(包括GBK在内的全部宽字符编码,具体能够看neeao大牛blog上的fuzz结果,貌似有4个编码都会有问题?本文出于方便的角度只说GBK为)。
MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是“縗”
如今 %df\' = %df%5c%27=縗'
总结一下:
%df’ --》 %df\' = %df%5c’ = 縗'
%df 并非惟一的一个字符,应该是% 81-%FE 之间任意的一个均可以。
单引号在注入里绝对是个好东西,尤为是,不少程序员过度依赖于GPC或者addslashes的转义。理论上说,只要数据库链接代码设置了GBK或者是默认编码是GBK,如今程序里处处都是注入漏洞。(事实上,这种变换在XSS等领域也发挥了巨大的做用,在PHP和Linux后台程序结合的时候,还可能形成命令注入)
能够参考的测试方法(替代原来的 and 1=1 ):
%df%27 or 1=1/*
%df%27 or 1=2/*
不过,在实际环境里,我Google了很久,找到的几个门户网站注入点,都是没开启GPC,直接就能注的,被kj大牛鄙视之后,很尴尬的中止了这种重复性同质化体力劳动。
理解这个漏洞,不该该去看80sec的漏洞公告,或者上次那个什么总结。
我以为安焦的文章说的更清楚:
[url]http://www.xfocus.net/articles/200805/979.html[/url]