关于双字节漏洞的检测(转帖)

dreamhack

关于双字节漏洞的检测


from：http://blog.xdxf.net/show-383-1.html

by 职业欠钱

昨天花了点时间去看宽字符的问题，才发现之前的理解一直有误。

%df' 被PHP转义（开启GPC、用addslashes函数，或者icov等），单引号被加上反斜杠\\

变成了 %df\\'

其中\\的十六进制是 %5C ，很好，现在 %df\\' = %df%5c%27

其实这也没什么，可是问题来了， 如何对待这3个字符？

取决于后台处理程序的默认编码（包括GBK在内的所有宽字符编码，具体可以看neeao大牛blog上的fuzz结果，貌似有4个编码都会有问题？本文出于方便的角度只说GBK为）。

MYSQL用GBK的编码时，会认为 %df%5c 是一个宽字符，也就是“縗\”

现在 %df\\' = %df%5c%27=縗\'

总结一下：

%df’ --》 %df\\' = %df%5c’ = 縗\'

%df 并不是唯一的一个字符，应该是% 81-%FE 之间任意的一个都可以。

单引号在注入里绝对是个好东西，尤其是，很多程序员过分依赖于GPC或者addslashes的转义。理论上说，只要数据库连接代码设置了GBK或者是默认编码是GBK，现在程序里到处都是注入漏洞。（事实上，这种变换在XSS等领域也发挥了巨大的作用，在PHP和Linux后台程序结合的时候，还可能造成命令注入）

可以参考的测试方法（替代原来的 and 1=1 ）：

%df%27 or 1=1/*

%df%27 or 1=2/*

不过，在实际环境里，我Google了好久，找到的几个门户网站注入点，都是没开启GPC，直接就能注的，被kj大牛鄙视以后，很尴尬的停止了这种重复性同质化体力劳动。

理解这个漏洞，不应该去看80sec的漏洞公告，或者上次那个什么总结。