UTF-8编码中的Overlong Encodings问题

最新推荐文章于 2024-08-29 21:00:00 发布
最新推荐文章于 2024-08-29 21:00:00 发布
阅读量562 收藏 12
点赞数 18
文章标签: 服务器 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_25299117/article/details/139633315
版权

编码发展历程

“编码”这个词指将信息、数据等按照一定规则转换成特定的符号或代码,以便于传输、存储和处理。

早期古埃及的象形文字是一种编码形式。发展到了计算机时代,计算机相关数据的处理规则采用二进制编码形式,用0和1两个数字来代表。后来ASCII编码被引入,由于是美国人定制的,所以只表示了字母、数字和符号。
ASCII编码

ASCII编码只有127个字符,27能代表128个字符。所以ASCII只用了七位。1字节(byte)=8位(bits),也就是ASCII编码只需要1字节。但是ASCII无法满足各类语言的需求,就比如中文,汉字超过几万个,7位肯定无法表示这么多的中文字符。后来我国制定了GB2312编码,采用两字节来编码中文。两字节=16位,216能表示65536个字符。类似的,日本采用Shift_JIS编码,韩国采用EUC-KR编码。但是这样也带来了一个问题,就是各国编码之间不兼容,放一起会出现乱码。后来出现的Unicode编码为解决这个问题,定义了一个统一的字符集,把所有语言都整合到一套编码里。Unicode编码一般采用两字节。

但是,这样也有新的问题。ASCII编码的字母A是十进制的65,二进制为01000001,由于Unicode编码是两字节,那么需要在前面用0补位,即00000000 01000001。如果数据都是英文字符,用Unicode编码比ASCII编码多用一倍的存储空间。所以出现了“可变长编码”的设计—UTF-8编码。

UTF-8编码

UTF-8编码可以参考维基百科:https://en.wikipedia.org/wiki/UTF-8#Overlong_encodings

UTF-8用一到四个字节表示字符。常用的英文编码是1字节。这样兼容了ASCII(Unicode前128个字符和ASCII一致),UTF-8也是如此。汉字通常是3字节。

UTF-8编码对照表

wiki这个UTF-8对照表是将Unicode编码转为UTF-8编码的计算方式。
U+0000U+007F意为0-127个字符,对应1字节,以0开头,后面补入7个字符。以此类推2字节、3字节、4字节。

wiki官方给了个欧元符号从Unicode值U+20AC转成UTF-8的计算例子。

CharacterBinary code pointBinary UTF-8Hex UTF-8
€(U+20AC)0010 0000 1010 110011100010 10000010 10101100E2 82 AC

U+20AC位于U+0800U+FFFF之间,因此需要三个字节进行编码(对应上图Byte 3)。然后将十六进制转为二进制。

2(十六进制) = 0010(四位二进制)
0(十六进制) = 0000(四位二进制)
A(十六进制) = 1010(四位二进制)
C(十六进制) = 1100(四位二进制)

上图中Byte 3的格式是三个字节分别以11101010开头,然后分别补入4、6、6位。U+20AC这四个四位的二进制数,按顺序补入即0010(4位)、000010(6位)、101100(6位),然后结合三字节的固定头部,就成为了1110 001010 00001010 101100。然后再分别将这三个二进制转为16进制得到E2 82 AC

Overlong Encodings

编码发展历程中讲到,Unicode是固定的两字节,在使用英文字符时,会浪费一倍的存储空间。所以有了可变长编码设计的UTF-8。这种Overlong Encodings就是可变长度的一种形式,为了兼容各类编码系统设计的。同一个字符可以用不同数量的字节来表示。而所谓的Overlong就是用了比最少字节数更多的字节来编码。例如欧元符号€本身是三个字节,但我们用了四个字节编码。这就是超长编码。

假如例子中的欧元符号 € 要从3个字节编码成4个字节,可以先填充0。4字节编码需要填入的字节数分别是3、6、6、6,一共21位。那么需要在U+20AC的二进制0010 0000 1010 1100(16位)前面加入5个0,变成00000 0010 0000 1010 1100,然后在按照4字节格式填入11110 000、10 000010、10 000010、10 101100,转换成十六进制就是F0 82 82 AC。这就是Overlong Encodings

但是Overlong Encodings是存在一定的安全隐患的,所以修订后的 UTF-8 标准(如 RFC 3629)规定,每个 Unicode 字符必须使用最短的字节序列来进行编码。例如python 3.7中对于无效的 UTF-8 字节流的每个字节都视为错误
python3处理错误的UTF-8

路径中的Overlong Encodings安全问题

CVE-2000-0884就是Overlong Encodings的问题,参考链接:https://capec.mitre.org/data/definitions/80.html

IIS 4.0 and 5.0 allows remote attackers to read documents outside of the web root, and possibly execute arbitrary commands, via malformed URLs that contain UNICODE encoded characters, aka the “Web Server Folder Traversal” vulnerability.

路径中的%C0%AF会被解码为/ ,导致目录穿越。

/scripts/..%c0%af../winnt/system32/cmd.exe

/本身的Unicode是U+002F。url编码就是%2f。但是%2f一般不会被允许在路径中执行,防止被目录穿越。这里就通过Overlong Encodings进行绕过。

U+002F本身是1字节的,二进制位00101111,那么如果扩展成2字节,根据上面的图,需要11位,即补3个0,000 00101111。然后根据两字节的格式,分成110 0000010 1011111。UTF-8就是C0 AF,即%C0%AF,绕过了%2F的限制

服务器解析时,将UTF-8编码形式转换成Unicode编码形式,即将上述转换过程进行倒推。按照2字节的11010开头的格式,分别截取后面的二进制,得到00000101111。然后拼接在一起的到00000101111,此二进制对应的十进制是47,47对应的Unicode是/,实现了跨目录。

同样的Glassfish 4.1之前的版本也受此攻击,参考:https://www.trustwave.com/hubfs/Web/Library/Advisories_txt/A_14137_twsl2015-016.txt?fid=6904

Glassfish Overlong Encodings攻击

Java序列化绕WAF

Java生成序列化数据后,在网络流量侧其实是能看到关键类名的,如TiedMapEntry等。
java序列化数据

所以一般在防御时会对反序列化payload中常用的关键字进行提取,写成如下规则,来检测是否是攻击行为。

pcre:"/org\/apache\/commons\/collections\/Transformer|org\.apache\.commons\.collections(4)?\.functors|java\.lang\.reflect\.Proxy|java\/lang\/reflect\/InvocationHandler/i"

然后@1ue师傅提出了一个思路,常见的检测对类名进行检测,那能否让序列化后的类名不可见,从而绕过关键字检测。

ObjectStreamClass#readNonProxy(ObjectInputStream in)
 -> ObjectInputStream#readUTF()
  -> BlockDataInputStream#readUTF()
   -> ObjectInputStream#readUTFBody(long utflen)
    -> ObjectInputStream#readUTFSpan(StringBuilder sbuf, long utflen)

解析类名的核心方法定位到readUTFSpan,它负责从缓冲区中读取一个 UTF-8 编码的片段,并将其解码为一个 Java 字符串。
readUTFSpan

可以看到这个方法中就根据上面图中UTF-8编码对应的字节格式进行解析的。整体的代码逻辑是,先读取第一个字节 b1,根据b1的前四位决定字符的格式(1字节、2字节或3字节)。如果是单字节,直接存储b1。如果是双字节,检查b2是否是10开头,如果是的话将b1和b2组合起来进行存储。如果是3字节,检查b2和b3是否前两位都是10,是的话将b1,b2,b3组合起来存储。

0xxxxxxx(0-127):单字节格式。
110xxxxx 10xxxxxx(128-2047):双字节格式。
1110xxxx 10xxxxxx 10xxxxxx(2048-65535):三字节格式。

那么思路同样是用Overlong Encodings来绕过。比如上面的类中一般都存在字符oo的十六进制是0x6f(二进制1101111),本身是单字节。如果用2字节进行绕过,先用0扩展成0000 1101111,然后根据格式,变成110 0000110 101111,对应的十六进制为0xC10xAF。这样将0x6F修改为0xC10xAF就可以绕过包含字符o的关键字检测(字符不可见,如下图)。

因为默认的UTF-8解析是采用最小字节进行解析的。所以字节序列中无法解析出对应的字符,但由于反序列化的readUTFSpan方法是按UTF-8实际的编码过程进行解析的,可以正确解析Overlong Encodings,并不影响实际的反序列化。

修改字节序列

但是这种方式需要注意,在修改字节后,需要将字节最前面的长度也进行修改。例如0x6F修改为0xC10xAF多了一字节,那么就需要将长度0x10修改为0x11。Ps:org.example.Evil类名长度16个字节,对应十六进制就是0x10

白帽AxisX
关注
  • 18
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
UTF-8检测
雨弓
09-18 531
<br />W3C上 提供了一种复杂的检测方法:<br /><br />[/x09/x0A/x0D/x20-/x7E]              # ASCII<br />| [/xC2-/xDF][/x80-/xBF]             # non-overlong 2-byte<br />|  /xE0[/xA0-/xBF][/x80-/xBF]        # excluding overlongs<br />| [/xE1-/xEC/xEE/xEF][/x80-/xBF]{2}  # str
python encode utf8_理解python的encode和decode,unicode和UTF-8
weixin_39859954的博客
12-03 2769
bytes通过decode()转换为str(字符串)str通过encode()转换为bytes(二进制)在python3,encode()和decode()默认使用UTF-8ASCII 、unicode 是字符集,utf-8是字符集的编码方式。utf-8 是 unicode 字符集一种编码方式。python3使用unicode字符集,而python2使用ASCII,所以python2使用文很麻...
java原生反序列化OverlongEncoding分析及实战
2401_83477555的博客
03-11 850
在waf层面,检测反序列化攻击链一般是检测cc,cb等链的关键类,假如能把这些类编码,在服务端那边解码,就可将特征隐藏,但很多场景只能打没有编码的攻击链,因为服务端那边并没有解码或解密的逻辑。群友1ue给出了解决方案。比如java.util.HashMap可以用两个字节表示一个字母,比如j不仅可以表示为一个字节的0x 6a还可以表示为两个字节的,0xc1和0xaa。这种将1个字节的字符,按照UTF-8编码方式强行编码成2位以上UTF-8字符的方法就是Overlong Encoding
UTF-8 Overlong Encoding导致的安全问题
离别歌
02-23 755
「代码审计」知识星球@1ue 发表了一篇有趣的文章《探索Java反序列化绕WAF新姿势》,深入研究了一下其的原理,我发现这是一个对我来说很“新”,但实际上年纪已经很大的Trick。0x01 UTF-8编码原理UTF-8是现在最流行的编码方式,它可以将unicode码表里的所有字符,用某种计算方式转换成长度是1到4位字节的字符。参考这个表格,我们就可以很轻松地将unicode码转换成UTF-8编...
PEP8文翻译(转)
把握自己。
05-16 4046
阅读目录 Indentation 缩进和换行Tabs or Spaces? 制表符或者空格?Maximum Line Length 行的最大长度Blank Lines 空行Encodings (PEP 263) 编码Imports 导入Pet Peeves 宠物的烦恼(即无伤大雅的小问题)Other Recommendations 其他建议Block Comments 块注释Inline C
手把手教你配置linux下C++开发工具——vim+ycm(YouCompleteMe),支持基于语义的自动补全和第三方库补全(史上最简单、史上最透彻、史上最全的终极解决方案)
热门推荐
哦,原来你也在这里。
10-23 1万+
截止到目前,vim稳定版本已经到了8.2+,ycm(YouCompleteMe的简称)最新版本与几年前的安装配置截然不同了。之前网上很多教程也教不得法,生搬硬套,没有讲透彻。所以,才下定决心写一篇自认为史上最简单、史上最全的教程出来。 一、准备工作 1、安装python(ycm需要使用python3.6以上的版本,这里选择python3.8.5): 1.1、进入download目录:cd download 1....
Unicode和字符集
qq_45668041的博客
04-05 613
外文文献取自: http://www.joelonsoftware.com/articles/Unicode.html 外文原文(后接文版): Every Software Developer Absolutely, Positively Must Know About Unicode and Character Sets (No Excuses!) 每个软件开发人员绝对、肯定地必须了解Unicode和字符集(没有借口!) Ever wonder about that mysterious Conte
python paramiko invoke_shell_系统运维工程师的法宝:python paramiko
weixin_39616287的博客
12-09 912
paramiko是用python语言写的一个模块,遵循SSH2协议,支持以加密和认证的方式,进行远程服务器的连接。使用paramiko可以很好的解决以下问题:需要使用windows客户端,远程连接到Linux服务器,查看上面的日志状态,批量配置远程服务器,文件上传,文件下载等"paramiko" is a combination of the esperanto words for "parano...
企业级环境部署:在 Linux 服务器上如何搭建和部署 Python 环境?
sdgfafg_25的博客
08-29 545
在大部分企业里,自动化测试框架落地都肯定会集成到Jenkins服务器上做持续集成测试,自动构建以及发送结果到邮箱,实现真正的无人值守测试。不过Jenkins搭建一般都会部署在公司的服务器上,不会在私人电脑里,而服务器大部分都是Linux操作系统的。所以,我们如果要在Linux上的Jenkins服务器里运行python自动化的脚本,那么就在linux服务器上把python以及相关用到的第三方库的环境都安装部署好。我们今天就给大家详细介绍一下Linux里如何安装和部署Python的环境。
Linux网络编程——C/C++Web服务器(二):IO多路复用select/poll/epoll实现服务器监听多客户端事件
GIS热爱者
08-26 1153
同步IO多路复用——使用select/poll/epoll实现服务器同时监听多客户端的事件,通过单线程循环处理事件。分别介绍与对比了select、poll和epoll的实现流程、代码和改进的地方。
服务器远程管理
m0_64827698的博客
08-26 646
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
黑神话:悟空游戏用的什么服务器
petaexpress的博客
08-21 1万+
黑神话:悟空游戏用的什么服务器?《黑神话:悟空》游戏使用的是基于云计算的强大服务器,具体型号和配置未公开。这些服务器在游戏发布初期就表现出极强的处理能力和稳定性,尽管同时在线人数一度突破百万,但整体运行仍然十分稳定。
ESXi服务器无法安装Windows11:“不符合此版本的Windows所需最低系统要求“
最新发布
一枚嵌入式小白菜的摸爬滚打之路
08-29 353
ESXI虚拟服务器安装win11提示“这台电脑无法运行Windows11,这台电脑不符合此版本的Windows所需最低系统要求”,解决方案
生信圆桌:专业生信服务器与平台服务的提供者
bioRoundTable的博客
08-26 556
生信圆桌专注于提供高性能生信服务器和云端生信分析平台服务,帮助全球科研机构和企业高效处理生物信息学数据,保障数据安全,支持技术咨询和定制化解决方案
自建 git 服务器
weixin_56371726的博客
08-29 615
在快认(天)命的年纪,我有勇气和能力认为工作对于我而言就是工作而已,我不看重任何一份工作,但是只要我干,我就会努力去干好,尽一个职工打工人的本分。开源、免费,支持代码审查、错误跟踪、网络托管、私人分支、个人分支、自托管,版本控制系统为 git (接地气),除不支持构建系统、发布二进制文件外和商业支持外,可以说接近于完美了。再次强制推送(--force,创建时初始化了远程仓库【空库,仅有.gitignore】,但未做同步,因此强制推送,本地覆盖远程),弹出对话框要求验证。”,不然是找不到 win 的包的。
服务器(百度云)部署项目(jar包)
weixin_52008157的博客
08-26 307
Dockerfile文件的内容informationerasure是jar包名,这里可根据自己定义的名字进行更换。java项目打包成jar包:clean------compile------install。jar包部署成功,前端可连接服务器地址进行查看是否部署成功!前提是后端要连接好数据库。jar包和Dockerfile文件上传完成之后,使用一下命令进行运行。导入数据库成功之后,刷新数据库就可以了,以上就是java部署!和jar包相同的文件里,创建Dockerfile文件。jar包上传到服务器上。
webstorm json格式utf-8编码转换成
03-29
您可以使用以下步骤将WebStorm的JSON格式从UTF-8编码转换为文: 1. 在WebStorm打开您的JSON文件。 2. 点击文件菜单并选择“Settings”(或使用快捷键Ctrl+Alt+S)。 3. 在“Settings”对话框,展开“Editor”选项,然后选择“File Encodings”。 4. 在“File Encodings”选项卡,将“Project Encoding”设置为“UTF-8”(如果它不是“UTF-8”)。 5. 在同一对话框,展开“JSON”选项,然后将“Default encoding for properties files”设置为“UTF-8”。 6. 单击“OK”保存更改并关闭对话框。 7. 现在,您的JSON文件应该以文字符显示。 请注意,如果您的JSON文件包含非UTF-8编码的字符,您需要将其转换为UTF-8编码才能正确显示文。您可以使用在线工具(例如https://www.iconv.com/)或本地编辑器(例如Notepad++)来执行此操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值