PHP多字节编码漏洞小结

如果小结中有理解错误的地方，麻烦大家提出。漏洞本质： php 使用 php_escape_shell_cmd这个函数来转义命令行字符串时是作为单字节处理的而当操作系统设置了GBK、EUC-KR、SJIS等宽字节字符集时候，将 …如果小结中有理解错误的地方，麻烦大家提出。漏洞本质：php 使用 php_escape_shell_cmd这个函数来转义命令行字符串时是作为单字节处理的而当操作系统设置了GBK、EUC-KR、SJIS等宽字节字符集时候，将这些命令行字符串传递给MySQL处理时是作为多字节处理的先看个简单的例子

当GPC=OFF时:username未经任何过滤，这是个典型的字符型SQL注入测试地址:http://localhost/gbk.php?username=\’ or 1%23http://localhost/gbk.php?username=\’ or 0%23当然很多情况下GPC=OFF时候都会使用一些函数来过滤用户的输入

看上去貌似没问题了，但是由于多字节编码问题，同样还是可以注入的测试地址:http://localhost/gbk.php?username=%df%27使用mysql_real_escape_string函数对用户输入进行转义存在同样的问题目前的很多开源的系统都是通过设置客户端的字符集为二进制来防止多字节编码问题的。//使用上面这句来替换DEMO中的 mysql_query("SET CHARACTER SET \’gbk\’", $conn);mysql_query("SET character_set_connection=gbk, character_set_results=gbk, character_set_client=binary", $conn);再次测试:http://localhost/gbk.php?username=%df%27OK，这样一来，多字节编码问题就不存在了吗？不见得当使用mb_convert_encoding、iconv对字符集进行错误的转换时候，漏洞再次的出现了（GPC=ON时问题同样存在）例如：$username = iconv(\’gbk\’,\’utf-8\’,$username);或$username = mb_convert_encoding($username,\’utf-8\’,\’gbk\’);来看下T00ls上看到的ECSHOP 2.6.x/2.7.x GBK版本的漏洞吧漏洞文件在api/checkorder.php line 28

我们来看下$_REQUEST[\’username\’] 的获取过程

先是引入了includes/cls_iconv.php这个文件，然后实例化了Chinese这个类，在调用类的Convert的方法见line 127$string = $this->_convert_iconv_mbstring($this->SourceText, $this->config[\’target_lang\’], $this->config[\’source_lang\’]);又调用了另外一个函数_conver_iconv_mbstring见line 278//这里错误的吧字符集从gbk转为了utf8，所以漏洞产生了$return_string = @mb_convert_encoding($string, $target_lang, $source_lang);