多字節(jié)編碼由來(lái)
我們先來(lái)看看最常用的,最小字符集是ascii,對(duì)應(yīng)的二級(jí)制可以表示為:00-7F 編碼 。它也是我們計(jì)算機(jī)使用最早通用的字符集。前期幾乎可以表示所有英文字符。后來(lái),更多使用計(jì)算機(jī)國(guó)家加入后,我們就想在計(jì)算機(jī)中表示中文字符。我們知道常見(jiàn)中文就有7000多個(gè)字符。ascii碼就只有128字符,只有0-127編碼位置,遠(yuǎn)遠(yuǎn)不夠用了。因此,我們就開始制作更大字符集,并且保證兼容ascii編碼。要支持更多字符,選擇更大字符集。我們只能用多個(gè)字節(jié)來(lái)描述一個(gè)字符了。為了很好的與ascii碼,區(qū)分開來(lái)!一般做法是:每個(gè)字節(jié)值都大于>7F,如果是2個(gè)字節(jié),那么就是:[>7F][>7F]。這樣編碼,保證很好的與ascii區(qū)分開,并且擴(kuò)大了字符集。像gb2312范圍在[0xA1-0xF7][0xA1-0xFE](中間很多沒(méi)有填滿),它完全保證所有字節(jié)在A0之上,也就完全滿足在7F之上了。
GBK編碼漏洞緣由
通過(guò)上面的分析,我們知道gb2312編碼是很好的跟ascii碼分開了。 那么我們看看,GBK編碼呢,它是完全兼容gb2312(就是說(shuō)在gb2312字符集中每個(gè)字符位置,與gbk字符集里面位置完全一致,而且包含于gb2312),但是,它有2萬(wàn)多個(gè)字符。從上面看,只能選擇往下排序了。 就是從A1A0往下排了,我們發(fā)現(xiàn)它編碼實(shí)際范圍是:[0x81-0xFE]([0x40-0x7E|0x80-0xFE] ) (GBK編碼),我們發(fā)現(xiàn)由2個(gè)字節(jié)組成,首字節(jié)范圍在7F之上,而第2個(gè)字節(jié),有一部分在0x40-0x7E了。這就是導(dǎo)致bug原因。我們看看下面例子吧!
從ASCII碼表中,我們知道0x40-0x7E 包含字符有:“
選擇gbk編碼,運(yùn)行上面代碼,就一條簡(jiǎn)單的命令導(dǎo)致出現(xiàn)錯(cuò)誤,說(shuō)字符串 賦值 沒(méi)有結(jié)束! 呵呵,估計(jì)很多人看到這個(gè)就會(huì)認(rèn)為是php 出Bug了。但是,如果我們變成$a=”誠(chéng)a”,發(fā)現(xiàn)可以正常運(yùn)行了。是不是覺(jué)得很奇葩啦!!
原因分析:我們知道文件存在磁盤都是二級(jí)制方式,無(wú)論你存什么字符,最終都是以該字符的在所選字符集中字符編碼保存。php解析時(shí)候,最小分析單元是字節(jié)。無(wú)論你是多字節(jié)還是單字節(jié)字符。最終都是按照字節(jié)來(lái)處理的。“誠(chéng)” GBK編碼是 D55C,php按字節(jié)來(lái)解釋,5C對(duì)應(yīng)字符是“\” 字符。后面直接跟個(gè)‘”',相當(dāng)于被轉(zhuǎn)義了。 因?yàn)闆](méi)有閉合,因此出現(xiàn)錯(cuò)誤!。大家看出問(wèn)題所在了吧,按自己處理的話,會(huì)自然把多字節(jié)拆成單字節(jié)了。這樣就會(huì)出現(xiàn)很多奇怪問(wèn)題了。
總結(jié):通過(guò)上面講解,我們知道了多字節(jié)編碼過(guò)程,以及GBK導(dǎo)致簡(jiǎn)單程序出錯(cuò)的原因。其實(shí),我們很多程序語(yǔ)言里面,都會(huì)以單個(gè)字節(jié)來(lái)解析的。這樣,當(dāng)你選擇多字節(jié)GBK編碼中文時(shí),剛好有字節(jié)落在特殊位置,將會(huì)出現(xiàn)奇怪錯(cuò)誤問(wèn)題。而且,還將給系統(tǒng)帶來(lái)本身的漏洞,后面我再說(shuō)說(shuō),GBK編碼缺陷,導(dǎo)致漏洞、以及專門利用該編碼漏洞缺陷進(jìn)行系統(tǒng)入侵!好了,先到這里了,歡迎交流!
GBK字符編碼(字符集)缺陷攻擊(注入)原理
上一節(jié),我們分析了。選擇不同編碼可能會(huì)導(dǎo)致程序帶來(lái)本身潛在的漏洞。這次我們以GBK編碼為例,看看怎么樣通過(guò)該編碼注入到系統(tǒng)中。目前很多開源系統(tǒng)都存在類似的注入問(wèn)題。我們先來(lái),從一個(gè)Demo開始!
GBK字符集漏洞注入原理
?php
$u=isset($_GET['u'])? $_GET['u']:'';
$u=addslashes($u);
$sql = "select * from user where user='$u'";
以上是我們寫的一個(gè)測(cè)試?yán)樱℅BK編碼),現(xiàn)在很多開源系統(tǒng),比較少的進(jìn)行統(tǒng)一參數(shù)過(guò)濾,有時(shí)候?yàn)榱朔乐棺⑷耄椭苯訉?duì)參數(shù)進(jìn)行轉(zhuǎn)義處理。我們看看,這樣一個(gè)例子,我們?cè)趺礃幼⑷脒M(jìn)系統(tǒng)!
| 步驟 |
備注 |
| 1.傳入值%D5%27 or 1=1# |
u參數(shù)參入上面值 (%27 對(duì)應(yīng)是“'” 單引號(hào)字符) |
| 2.GET獲取的值 |
0xD50x27 or 1=1# |
| 3.Addslashes后值 |
0xD50x5C0x27 or 1=1 (意思是:誠(chéng)' or 1=1#') #字符后面被注釋掉 |
| 4.sql值 將變成 |
select * from user where user='誠(chéng)' or 1=1#' |
| #號(hào)是sql注釋符號(hào),后面字符將截取掉 |
GPC轉(zhuǎn)義打開,或者是通過(guò)addslashes函數(shù),會(huì)自動(dòng)在字符是單引號(hào)(‘)、雙引號(hào)(")、反斜線(\)與 NUL(NULL 字符)等字符前面增加“\”字符(0x5c),例子里面,我們采用一個(gè)特殊前面字節(jié)0xD5,它將與該字節(jié)組合變成:0xD50x5c ,剛好是gbk字符集中字符:”誠(chéng)“ 了。 后面的0×27這個(gè)單引號(hào)被保留下來(lái)了!
GBK字符集漏洞注入總結(jié)
呵呵,這個(gè)很有意思吧,好了。我們來(lái)總結(jié)下,這類注入是2個(gè)條件的。第一是:gbk編碼,第二是:程序采用了轉(zhuǎn)義方法,轉(zhuǎn)義了輸入。 這2個(gè)條件不苛刻,目前大部分開源系統(tǒng)都有g(shù)bk,utf-8編碼的源碼,剩下的就去看看,源碼里面有沒(méi)有用類似轉(zhuǎn)義方法,過(guò)濾字符串了。如果有,那么這個(gè)系統(tǒng)某個(gè)功能,你可以去滲透下了。這個(gè)編碼漏洞,網(wǎng)上面提的很多,不過(guò)很多時(shí)候,沒(méi)有引起開發(fā)人員的足夠重視,還是在不斷的重現(xiàn)!
那么我們?nèi)绻⑷胍粋€(gè)參數(shù),我們?cè)撨x擇什么樣的入?yún)?shù)呢?其實(shí)這種轉(zhuǎn)義字符是單引號(hào)(‘)、雙引號(hào)(")、反斜線(\)與 NUL(NULL 字符),我們這些字符往往在程序中有特殊作用,我們只需要在前面加一個(gè)在>7F字符,后面接一個(gè)%27(‘)、%22(")、%5C(\)、%00(NULL 字符),就可以自己讓這4個(gè)字符,可以逃脫轉(zhuǎn)義了。
好了,這個(gè)漏洞原理及注入過(guò)程分析就這些了。我們開發(fā)時(shí)候,需要注意這個(gè)問(wèn)題,特別是使用GBK編碼開發(fā)程序,要有這個(gè)方面的預(yù)備知識(shí),對(duì)于自己開發(fā)安全的代碼會(huì)有幫助的。更多的GBK編碼,可以看http://doc.chacuo.net/gbk !(這里有很多落在5c中文字符呢)也歡迎討論!
