from:http://blog.xdxf.net/show-383-1.html
by 职业欠钱
昨天花了点时间去看宽字符的问题,才发现之前的理解一直有误,
关于双字节漏洞的检测漏洞预警
。%df' 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\
变成了 %df\'
其中\的十六进制是 %5C ,很好,现在 %df\' = %df%5c%27
其实这也没什么,可是问题来了, 如何对待这3个字符?
取决于后台处理程序的默认编码(包括GBK在内的所有宽字符编码,具体可以看neeao大牛blog上的fuzz结果,貌似有4个编码都会有问题?本文出于方便的角度只说GBK为)。
MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是“縗”
现在 %df\' = %df%5c%27=縗'
总结一下:
%df’ --》 %df\' = %df%5c’ = 縗'
%df 并不是唯一的一个字符,应该是% 81-%FE 之间任意的一个都可以,
电脑资料
《关于双字节漏洞的检测漏洞预警》(https://www.unjs.com)。单引号在注入里绝对是个好东西,尤其是,很多程序员过分依赖于GPC或者addslashes的转义。理论上说,只要数据库连接代码设置了GBK或者是默认编码是GBK,现在程序里到处都是注入漏洞。(事实上,这种变换在XSS等领域也发挥了巨大的作用,在PHP和Linux后台程序结合的时候,还可能造成命令注入)
可以参考的测试方法(替代原来的 and 1=1 ):
%df%27 or 1=1/*
%df%27 or 1=2/*
不过,在实际环境里,我Google了好久,找到的几个门户网站注入点,都是没开启GPC,直接就能注的,被kj大牛鄙视以后,很尴尬的停止了这种重复性同质化体力劳动。
理解这个漏洞,不应该去看80sec的漏洞公告,或者上次那个什么总结。
我觉得安焦的文章说的更清楚:
http://www.xfocus.net/articles/200805/979.html