五月综合激情婷婷六月,日韩欧美国产一区不卡,他扒开我内裤强吻我下面视频 ,无套内射无矿码免费看黄,天天躁,日日躁,狠狠躁

新聞動(dòng)態(tài)

PHP多字節(jié)編碼漏洞小結(jié)

發(fā)布日期:2022-01-28 13:22 | 文章來(lái)源:站長(zhǎng)之家

如果小結(jié)中有理解錯(cuò)誤的地方,麻煩大家提出。漏洞本質(zhì): php 使用 php_escape_shell_cmd這個(gè)函數(shù)來(lái)轉(zhuǎn)義命令行字符串時(shí)是作為單字節(jié)處理的而當(dāng)操作系統(tǒng)設(shè)置了GBK、EUC-KR、SJIS等寬字節(jié)字符集時(shí)候,將 ...
如果小結(jié)中有理解錯(cuò)誤的地方,麻煩大家提出。

漏洞本質(zhì):
php 使用 php_escape_shell_cmd這個(gè)函數(shù)來(lái)轉(zhuǎn)義命令行字符串時(shí)是作為單字節(jié)處理的
而當(dāng)操作系統(tǒng)設(shè)置了GBK、EUC-KR、SJIS等寬字節(jié)字符集時(shí)候,將這些命令行字符串傳遞給MySQL處理時(shí)是作為多字節(jié)處理的

先看個(gè)簡(jiǎn)單的例子


復(fù)制代碼
代碼如下:

<?php
header('Content-type: text/html; charset=gbk');
//連接MySQL
$conn = mysql_connect("localhost", "root", "");
//選擇數(shù)據(jù)庫(kù)
mysql_select_db("test", $conn);
//設(shè)置字符集編碼
mysql_query("SET CHARACTER SET 'gbk'", $conn);

//創(chuàng)建DEMO表如果不存在
mysql_query("CREATE TABLE IF NOT EXISTS `demo` (
`uid` int(10) NOT NULL AUTO_INCREMENT,
`username` varchar(32) NOT NULL,
`password` varchar(32) NOT NULL,
PRIMARY KEY (`uid`)
) ENGINE=MyISAM DEFAULT CHARSET=gbk AUTO_INCREMENT=1;", $conn);
//插入個(gè)測(cè)試數(shù)據(jù)
mysql_query("REPLACE INTO `demo` VALUES('','admin','admin888') ",$conn);
//獲取用戶(hù)輸入
$username = isset($_REQUEST['username']) ? $_REQUEST['username'] : '';

//執(zhí)行查詢(xún)并且DEBUG
$sql = "SELECT * FROM demo WHERE username = '{$username}' LIMIT 1";
echo "sql: ".$sql."
";
$res = mysql_query($sql, $conn);
$row = mysql_fetch_array($res);
echo "result: <br/>";
var_dump($row);
?>

當(dāng)GPC=OFF時(shí):
username未經(jīng)任何過(guò)濾,這是個(gè)典型的字符型SQL注入
測(cè)試地址:
http://localhost/gbk.php?username=' or 1%23
http://localhost/gbk.php?username=' or 0%23

當(dāng)然很多情況下GPC=OFF時(shí)候都會(huì)使用一些函數(shù)來(lái)過(guò)濾用戶(hù)的輸入


復(fù)制代碼
代碼如下:

// 對(duì)用戶(hù)傳入的變量進(jìn)行轉(zhuǎn)義操作
if (!get_magic_quotes_gpc())
{
$username = addslashes($username);
}

看上去貌似沒(méi)問(wèn)題了,但是由于多字節(jié)編碼問(wèn)題,同樣還是可以注入的

測(cè)試地址:http://localhost/gbk.php?username=%df%27
使用mysql_real_escape_string函數(shù)對(duì)用戶(hù)輸入進(jìn)行轉(zhuǎn)義存在同樣的問(wèn)題

目前的很多開(kāi)源的系統(tǒng)都是通過(guò)設(shè)置客戶(hù)端的字符集為二進(jìn)制來(lái)防止多字節(jié)編碼問(wèn)題的。
//使用上面這句來(lái)替換DEMO中的 mysql_query("SET CHARACTER SET 'gbk'", $conn);
mysql_query("SET character_set_connection=gbk, character_set_results=gbk, character_set_client=binary", $conn);

再次測(cè)試:http://localhost/gbk.php?username=%df%27

OK,這樣一來(lái),多字節(jié)編碼問(wèn)題就不存在了嗎?不見(jiàn)得

當(dāng)使用mb_convert_encoding、iconv對(duì)字符集進(jìn)行錯(cuò)誤的轉(zhuǎn)換時(shí)候,漏洞再次的出現(xiàn)了(GPC=ON時(shí)問(wèn)題同樣存在)

例如:
$username = iconv('gbk','utf-8',$username);

$username = mb_convert_encoding($username,'utf-8','gbk');

來(lái)看下T00ls上看到的ECSHOP 2.6.x/2.7.x GBK版本的漏洞吧

漏洞文件在api/checkorder.php line 28


復(fù)制代碼
代碼如下:

$sql = "SELECT COUNT(*) ".
" FROM " . $ecs->table('admin_user') .
" WHERE user_name = '" . trim($_REQUEST['username']). "' AND password = '" . md5(trim($_REQUEST['password'])) . "'";

我們來(lái)看下$_REQUEST['username'] 的獲取過(guò)程


復(fù)制代碼
代碼如下:

$_REQUEST['username'] = json_str_iconv($_REQUEST['username']);

json_str_iconv()這個(gè)函數(shù)在includes/lib_base.php中定義,其功能是將非UTF-8編碼的字符串進(jìn)行轉(zhuǎn)換,然后return ecs_iconv('utf-8', EC_CHARSET, $str);
ecs_inonv這個(gè)函數(shù)也在 includes/lib_base.php中定義,看下函數(shù)吧:
function ecs_iconv($source_lang, $target_lang, $source_string = '')
{
static $chs = NULL;

/* 如果字符串為空或者字符串不需要轉(zhuǎn)換,直接返回 */
if ($source_lang == $target_lang || $source_string == '' || preg_match("/[\x80-\xFF]+/", $source_string) == 0)
{
return $source_string;
}

if ($chs === NULL)
{ require_once(ROOT_PATH . 'includes/cls_iconv.php');
$chs = new Chinese(ROOT_PATH);
}

return $chs->Convert($source_lang, $target_lang, $source_string);
}

先是引入了includes/cls_iconv.php這個(gè)文件,然后實(shí)例化了Chinese這個(gè)類(lèi),在調(diào)用類(lèi)的Convert的方法見(jiàn)line 127
$string = $this->_convert_iconv_mbstring($this->SourceText, $this->config['target_lang'], $this->config['source_lang']);

又調(diào)用了另外一個(gè)函數(shù)_conver_iconv_mbstring見(jiàn)line 278
//這里錯(cuò)誤的吧字符集從gbk轉(zhuǎn)為了utf8,所以漏洞產(chǎn)生了
$return_string = @mb_convert_encoding($string, $target_lang, $source_lang);

香港服務(wù)器租用

版權(quán)聲明:本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有,歡迎引用、轉(zhuǎn)載,請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站,禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像,否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái),僅供學(xué)習(xí)參考,不代表本站立場(chǎng),如有內(nèi)容涉嫌侵權(quán),請(qǐng)聯(lián)系alex-e#qq.com處理。

相關(guān)文章

實(shí)時(shí)開(kāi)通

自選配置、實(shí)時(shí)開(kāi)通

免備案

全球線(xiàn)路精選!

全天候客戶(hù)服務(wù)

7x24全年不間斷在線(xiàn)

專(zhuān)屬顧問(wèn)服務(wù)

1對(duì)1客戶(hù)咨詢(xún)顧問(wèn)

在線(xiàn)
客服

在線(xiàn)客服:7*24小時(shí)在線(xiàn)

客服
熱線(xiàn)

400-630-3752
7*24小時(shí)客服服務(wù)熱線(xiàn)

關(guān)注
微信

關(guān)注官方微信
頂部