今天看了黑防2009精华本下册《双字节编码:PHP的隐形杀手》一文,深受启发。
当php.ini中magic_quotes_gpc被设置为on时,提交的参数会被转义,例如,单引号会被转义成了’。一下子截断了字符型注入的路。
GBK双字节编码:一个汉字用两个字节表示,首字节对应0x81-0xFE,尾字节对应0x40-0xFE(除0x7F),刚好涵盖了对应的编码0x5C。
0xD5 0x5C 对应了汉字“誠”,于是 %d5%5c 经URL解码后为“誠”。
当我们提交参数 %d5′ ,经浏览器URL编码后为%d5%27,再经PHP URL解码后为 0xd50x27,再经PHP转义后为0xd50x5c0x27,即就是在0x27(‘)之前插入了转义符0x5c(\)。当MySQL采用GBK编码连 接时,0xd50x5c0x27 这一字节序列就被MySQL作为GBK编码理解:誠’。
这样就吃掉了PHP的转义符,从而突破了单引号转义的限制。
本地测试如下:
测试脚本index.php如下:
<?php
$conn=0;
$conn = mysql_connect("localhost","root","see2006");
if (!$conn)
{
die("不能打开数据库连接,错误: " . mysql_error());
}
// 选择数据库
mysql_select_db("test", $conn);
// 设置mysql数据库输出数据的字符集
mysql_query("set names 'gbk'");
$sql="select * from news where content like '%".$_REQUEST['k']."%'";
echo "当前sql语句:".$sql."<br/><br/>";
$result=mysql_query($sql,$conn);
if(!$result)
echo mysql_error();
while($result && $row=mysql_fetch_array($result))
{
echo "$row[title]<br/>";
}
?>
搜索关键字为空,显示所有条目
单引号被PHP自动转义
利用双字节编码绕过PHP转义,SQL语句出错
利用#注释之后的SQL语句,语法正确
union猜字段数目和可显示字段的位置
union查看当前用户
union查看当前数据库名
union查看test数据库表名
union查看user表的name字段值
union查看user表的pass字段值
利用GBK双字节编码突破PHP单引号转义限制进行SQL注入,PHP 绕过gpc、魔法引号继续注入。
转自:http://www.redicecn.com/plus/view.php?aid=180
另附文章《双字节编码 php的隐形杀手》的下载地址,《黑客防线2009精华奉献本》上下册:
《黑客防线2009精华奉献本》(上册) ,格式:PDF,文件名:HKFX2009JHFXB_A.rar,大小:31.28 MB。
迅雷专用下载1:
thunder://QUFodHRwOi8vNS54cDUxMC5jb20vMDLUwi9IS0ZYMjAwOUpIRlhCX0EucmFyWlo=/
迅雷专用下载2:
thunder://QUFodHRwOi8vNi54cDUxMC5jb206ODAxLzAy1MIvSEtGWDIwMDlKSEZYQl9BLnJhclpa/
迅雷专用下载3:
thunder://QUFodHRwOi8vNy54cDUxMC5jb20vMDLUwi9IS0ZYMjAwOUpIRlhCX0EucmFyWlo=/
其它下载地址:
http://6.xp510.com:801/02%E6%9C%88/HKFX2009JHFXB_A.rar
《黑客防线2009精华奉献本》(下册) ,格式:PDF,文件名:HKFX2009JHFXB_B.rar,大小:43.74MB。
http://download.csdn.net/download/bb8cbb8c/3704880
http://0.xp510.com/02月/HKFX2009JHFXB_B.rar
http://1.xp510.com/02月/HKFX2009JHFXB_B.rar
http://5.xp510.com/02月/HKFX2009JHFXB_B.rar
http://6.xp510.com:801/02月/HKFX2009JHFXB_B.rar
thunder://QUFodHRwOi8vNS54cDUxMC5jb20vMDLUwi9IS0ZYMjAwOUpIRlhCX0IucmFyWlo=
以上这几个下载地址文件都一样,任选一个即可,注意上下册!另外,该文件已加入迅雷离线资源库,如果你下载的时候没有资源或速度慢,请使用迅雷离线下载,瞬间即可下载完成!
补充:
0xD50×5C不是唯一可以绕过单引号转义的字符,0×81-0xFE开头+0×5C的字符应该都可以;
根据utf8的编码范围,无此问题;
这种变换在xss等领域也可以应用,假如服务端是GBK编码格式。
接下来提供2种解决方法:
1,
参照了discuz gbk版本里面的做法,并没有对数据做很特殊的过滤,也是靠普通的addslashes,只是在数据库初始化连接的时候有区别,截取部分代码如下
if($this->version() > ‘4.1′) {
$dbcharset = $dbcharset ? $dbcharset : $this->config[1][‘dbcharset’];
$serverset = $dbcharset ? ‘character_set_connection=’.$dbcharset.’, character_set_results=’.$dbcharset.’, character_set_client=binary’ : ”;
$serverset .= $this->version() > ‘5.0.1′ ? ((empty($serverset) ? ” : ‘,’).’sql_mode=\’\”) : ”;
$serverset && mysql_query(“SET $serverset”, $link);
}
所有要把数据库操作类中的mysql_query(“set names ‘gbk’”);
改成mysql_query(“SET character_set_connection=’gbk’,character_set_results=’gbk’,character_set_client=binary”);
在传输数据时使用binary格式,避免了由于GBK编码方式将0xd6和0×5c合成一个汉字的问题.
if($this->server_info() > ‘4.1′){
//mysql_query(“SET NAMES ‘gbk’”);
mysql_query(“SET character_set_connection=’gbk’,character_set_results=’gbk’,character_set_client=binary”);
}
经测试,上面的注入无效
2,字符过滤
//这里针对username做出来,password一般有限制可以输入的格式,可以做白名单处理
if(get_magic_quotes_gpc())
$username = stripslashes($username);
$reg = “/\s|\’/i”;
$username = preg_replace($reg,”,$username);
$username = addslashes($username);
推荐第一种方法,看过大多数的开源系统的初始化数据库连接方式,或者哪位达人提供下更完美的处理方法。
可能存在该类型注入的网站:
http://www.bzgt.gov.cn/default.php?fid=1誠&mod=bs