代码审计的艺术系列—第四篇

最新推荐文章于 2024-07-02 01:10:21 发布
最新推荐文章于 2024-07-02 01:10:21 发布
阅读量853 收藏 3
点赞数
分类专栏: 开发知识 文章标签: 信息安全 php 代码审计 
0x01 前言
作者:HackBraid同学(乌云核心白帽子)
接白帽子分享之代码审计的艺术系列-第二篇和第三篇,这里讲宽字符注入漏洞产生的原因和案例分析。(没看过前三季的同学,可以先看看前三季)
代码审计的艺术系列—第一篇

白帽子分享之代码的艺术系列—第二篇

白帽子分享之代码审计的艺术系列第三季

首先我们了解下宽字节注入,宽字节注入源于程序员设置MySQL连接时错误配置为:set character_set_client=gbk,这样配置会引发编码转换从而导致的注入漏洞。具体原理如下:
1.正常情况下当GPC开启或使用addslashes函数过滤GET或POST提交的参数时,黑客使用的单引号 ‘ 就会被转义为: \’;
2.但如果存在宽字节注入,我们输入%df%27时首先经过上面提到的单引号转义变成了%df%5c%27(%5c是反斜杠\),之后在数据库查询前由于使用了GBK多字节编码,即在汉字编码范围内两个字节会被编码为一个汉字。然后MySQL服务器会对查询语句进行GBK编码即%df%5c转换成了汉字“運”(注:GBK的汉字编码范围见附录),而单引号逃逸了出来,从而造成了注入漏洞。
现在基本上都会将mysql的连接配置为“setcharacter_set_client=binary”来解决这个问题,所以这篇文章将介绍出现在php中因为字符编码转换导致的注入问题。

0x02 准备

知识储备:php基础、MySql入门
工具:notepad++
服务器环境:wamp
测试代码和sql: http://pan.baidu.com/s/1o8gXMTc 密码: ***(后台回复代码艺术4)

0x03 全局防护Bypass下篇的脑图

代码审计3-思维导图



0x04 宽字符注入

字符编码的转换函数像iconv的使用会出现这类注入问题,分gbk转utf-8和utf-8转gbk两种情况。
1.GBK转UTF-8
缺陷代码:

<?php
  require_once('common.php');
  $conn = mysql_connect('localhost', 'root', 'braid') ordie('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
  $title_tmp = isset($_GET['title']) ? urldecode($_GET['title']) : 'news title';
  //这里对title进行了gbk到utf-8的转换
  $title = iconv("gbk","utf-8",$title_tmp);
  $sql = "SELECT * FROM news WHERE title = '{$title}'";
  echo$sql;
  $result = mysql_query($sql, $conn) ordie(mysql_error()); 
  ?>

浏览器输入”http://localhost/sqltest/kuanzifu1.php?title=%df‘union select 1,2,concat(name,0x23,pass) from admin%23
“,发现获取了管理员账户密码如下图:

代码审计4-1

原理其实跟前言里第2条是一样的,我们输入%df%27时首先经过上面提到的单引号转义变成了%df%5c%27(%5c是反斜杠\),然后%df%5c正好属于gbk的汉字编码范围,经过iconv转换到utf-8编码转换后变成了汉字“運”,从而吞掉了反斜杠使得单引号逃脱出来。
2.UTF-8转GBK
缺陷代码:

<?php
  require_once('common.php');
  $conn = mysql_connect('localhost', 'root', 'braid') ordie('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
  $title_tmp = isset($_GET['title']) ? urldecode($_GET['title']) : 'news title';
  $title = iconv("utf-8","gbk",$title_tmp);
  $sql = "SELECT * FROM news WHERE title = '{$title}'";
  echo$sql;
  $result = mysql_query($sql, $conn) ordie(mysql_error()); 
  ?>

这里我们思考下“錦”这个字,它的utf-8编码是e98ca6,它的gbk编码是e55c,而上面提到过反斜杠\正好为5c。
所以如果我们将title设置为:錦’,首先经过addlashes函数或GPC对单引号转义变为:錦\’,然后会经过icnov函数会对”錦”转化为gbk编码,最后就是:%e5%5c%5c%27。反斜杠被转义了(%5c%5c),从而单引号逃逸出来就会引发注入漏洞。
直接获取管理员账户密码的POC如下:
http://localhost/sqltest/kuanzifu2.php?title=錦‘ union select1,2,concat(name,0x23,pass) from admin%23
代码审计4-2

 

原创文章,转载请注明: 转载自安兔|anntoo.com 互联网安全新媒体平台

本文链接地址: 代码审计的艺术系列—第四篇

煜铭2011
关注
专栏目录
边缘计算与端侧推理原理与代码实战案例讲解【系列文章】
程序员光剑
07-04 1667
在当今数字化时代,随着物联网(IoT)设备的普及和人工智能技术的快速发展,传统的云计算模式面临着诸多挑战。数据传输延迟、网络带宽压力、隐私安全concerns等问题日益突出。为了解决这些问题,边缘计算和端侧推理技术应运而生,成为了现代计算架构中不可或缺的组成部分。边缘计算将计算能力下沉到靠近数据源的网络边缘,而端侧推理则直接在终端设备上进行AI模型的推理。这两种技术的结合不仅能够大幅降低数据传输延迟,提高实时性能,还能有效保护用户隐私,优化网络资源使用。
Java必知必会系列:安全编码与漏洞防护
程序员光剑
09-24 1720
作为一名具有十多年经验的软件工程师、安全专家、项目经理等职务的资深码农,我十分热心参加本次系列的举办。本文为《Java必知必会系列:安全编码与漏洞防护》第1篇。由于人工智能和机器学习正在改变软件开发的世界,越来越多的人开始关注这个新兴的领域。而AI在软件编程领域发挥着巨大的作用,从而促进了软件产业的发展。当人们开始将自己的工作从单纯的编码,升级到把AI技术应用于软件开发中时,安全问题也逐渐成为一个重点关注的问题。通过编写安全的代码,可以最大限度地降低系统中的隐患。
代码审计艺术系列—第一篇
煜铭2011
07-24 1124
0x01 前言 301:安全技术系列的文章还是啦,先会从一些初级的内容开始。:)近几年随着web安全人才的升级,越来越多的安全研究人员投入到php应用的漏洞挖掘,相应的代码安全问题也被大量的披露出来。身处这个时代,我有幸见识到身边白帽子不断寻求突破并丰富和完善了代码审计这个概念,时至今日笔者总结了一套基础的审计方法,厚着脸皮取名为代码审计艺术,希望能够帮助新人更好的认识和进入这一领域。 0x
代码审计艺术系列—第五篇
煜铭2011
07-24 1038
0x01前言 作者:HackBraid,乌云核心白帽子。白帽子分享之代码审计艺术系列(二、三、四季)是对绕过全局防护的场景进行的总结。没看前几季的同学,可以关注下。代码审计艺术系列—第一篇代码审计艺术系列—第二篇代码审计艺术系列—第三篇代码审计艺术系列第四篇接下来两篇介绍全局防护存在的盲点,首先是上篇: 盲点如下: ①注入点类似id=1这种整型的参数就会完全无视GPC的过滤;
代码审计艺术系列—第六篇
煜铭2011
07-24 929
0x00前言: 作者:HackBraid,乌云核心白帽子。真名李斌,现汽车之家高级安全工程师。就职于奇虎360多年,熟悉代码审计、渗透测试等Web安全领域。白帽子分享之代码审计艺术系列(二、三、四季)是对绕过全局防护的场景进行的总结。没看前几季的同学,可以关注下。代码审计艺术系列—第一篇代码审计艺术系列—第二篇代码审计艺术系列—第三篇代码审计艺术系列第四篇代码审计艺术系列—第五篇接
宽字节注入%df的理解
tpaer的博客
10-24 5532
关于%df宽字节注入的理解
宽字节注入
weixin_53026460的博客
11-07 1684
但是编码不同就会产生歧义,比如说编码a和编码b,组合在一起的时候可能形成某一个汉字,如果编码a、b、c三个字符在一起,去编码的时候,用不同的编码去看待它是不一样的东西;举个例子,有句话叫:下雨天留人天留我不留,我们可以通过断句的不同来决定这句话的涵义;编码也是一样的,也有标点符号的问题,比如说原本是普通的英文编码,假设a、b、c、d这是四个单独的字符,但是呢现在这个英文编码传过去之后用中文去解,这个时候它可能会被解码出其他的东西。所以说不同的编码会造成不同的状态;
Spring Cloud微服务架构入门篇
程序员光剑
10-12 352
Spring Cloud 是构建分布式系统的一些常用框架组合,它将 Spring Boot、Spring Cloud Config、Spring Cloud Netflix、Spring Cloud AWS等组件进行整合,提供开发分布式系统的工具包,帮助 Spring Boot 应用快速地连接配置服务器、服务发现服务器、消息代理等组件,实现服务治理。Spring Cloud 为开发人员提供了一种简单的方式来实现分布式系统架构模式中的一些常见功能,如服务发现、服务熔断、弹性伸缩等。
架构师必知必会系列:数据治理与合规性
程序员光剑
09-24 2493
数据治理和合规性(Data Governance and Compliance)是企业应对数据泄露、管理、分类、存储、传输、共享、使用、保护等过程中的各个环节。作为一个技术领域,如何落地一套有效的数据治理和合规体系是一个技术人的重要工作。《数据治理与合规性》试图通过系统化的学习路线,帮助架构师和工程师更全面地理解并掌握数据治理和合规相关的核心知识和技能。本文为该系列的第一篇,将从数据管理、分类、隐私、保护、数据流动、违规处理、工具、数据湖、云端服务等多个方面进行讲解。
Hadoop原理与代码实例讲解
最新发布
程序员光剑
07-02 348
Hadoop原理与代码实例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming / TextGenWebUILLM Hadoop原理与代码实例讲解 关键词:Hadoop原理,Hadoop生态
绕过mysql转义字符_SQL注入:各种绕过检测的姿势
weixin_29466045的博客
01-19 2643
这一篇主要总结一下sqlilabs中advanced injection中的用到的各种绕过,也就是less21-less38。目录1)数据编码2)特殊字符、语法关键字过滤3)存储型注入4)特殊字符转义与宽字节注入5)防火墙保护与http参数污染数据编码这个是最简单的,就是在普通注入的基础上用响应的编码方式编码一下payload即可,比如sqlilabs上这两个靶站都是用的base64编码。特殊字符...
代码审计艺术系列—第三篇
煜铭2011
07-24 976
0x01 前言 非常感谢白帽子HackBraid同学一直坚持分享。:)接下来的时间交给HackBraid。 接白帽子分享之代码的艺术系列-第三篇,主要是一些函数的错误使用会引发SQL注入的场景以及二次注入漏洞产生的原因。如果没看之前的内容,建议先看看前两篇。:) 代码审计艺术系列—第一篇 白帽子分享之代码的艺术系列—第二篇 0x02 准备 知识储备:php基础、MySql入门 工具
mysql宽字节注入_宽字节注入原理
weixin_30376627的博客
02-27 360
宽字节注入产生的原理宽字节注⼊源于程序员设置MySQL连接时错误配置为:set character_set_client=gbk,这样配置会引发编码转换从⽽导致的注⼊漏洞。具体原理如下:1,正常情况下当GPC开启或使⽤addslashes函数过滤GET或POST提交的参数时,⿊客使⽤的单引号 '就会被转义为:';2,但如果存在宽字节注⼊,我们输⼊%df%27时⾸先经过上⾯提到的单引号转义变成了%...
【漏洞挖掘】——22、DDE漏洞攻击介绍
Fly_鹏程万里
03-03 1326
2017年10月SensePost发布了一篇文章并在其中解释了如何在不使用任何宏或脚本的情况下从Microsoft Word文档中执行任意代码,SensePost描述的技术是利用合法的Microsoft Office功能,该功能称为DDE(动态数据交换),DDE旨在允许Microsoft办公应用程序之间传输数据,由于此技术不会使用电子邮件网关可以检测到的恶意宏感染Word文档,因此可以实现与远程代码执行相同的结果,这种攻击非常有效且被广泛用于恶意软件活动和红队评估。
宽字节注入入门详解
爱党人士
05-11 4421
原理: GBK 占用两字节 ASCII占用一字节 PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。 大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等), 单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C , 那么现在 %df\’ =%df%5c%27, 如果程序的默认...
php代码审计之sql注入
qq_54030686的博客
12-05 1238
php代码审计之sql注入 审计有几种方法,通读,指定函数,或者功能点 通读也就是每一个php都阅读一下,发现每一个页面实现的功能(对于我刚开始接触php来说,不可能) 功能点 自己使用源码,phpstudy搭建环境,使用AWVA,appscan,nessus等工具进行扫描,在输入框,文件上传等功能点进行测试,还可以根据回显,例如:不允许此类型文件上传,使用seay审计系统查询,审计相关方法 此篇为sql注入 sql注入产生的原因:用户输入恶意构造的语句,服务器后端未进行足够的校验,恶意语句直接添加sql语
宽字节(宽字符)注入
Yatere的天平秤
04-24 2046
宽字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠/,变成了 %df/’,其中/的十六进制是 %5C ,那么现在 %df/’ = %df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df/’ = %df%5c%27=縗’,有了单引号就好注入了。比如:$conn = mysql_connect(”localho
SQL注入——宽字节注入
以梦为马,不负韶华
12-08 1660
·1 搭建环境 首先自己动手搭建一个简单的实验环境,写了一个很简单的源码,甚至标题都给出了SQL宽字节注入,所以只是针对性练习了,无任何实战意义┐(‘~`;)┌  <?php $link = mysqli_connect('localhost', 'root', 'root', 'test'); if (!$link) { die('Could not connect to MySQ
java代码审计 入门篇
08-24
对于Java代码审计,入门篇的几个重点包括: 1. 熟悉Java语言和开发框架:了解Java的基础知识和常见的开发框架,如Spring、Struts等。掌握Java的语法、面向对象编程、异常处理等内容。 2. 学习安全编码规范:掌握常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值