在magic_quotes_gpc=On的情况下,提交的参数中如果带有单引号’,就会被自动转义\’,使很多注入攻击无效,
GBK双字节编码:一个汉字用两个字节表示,首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),刚好涵盖了转义符号\对应的编码0×5C。
0xD50×5C 对应了汉字[诚],URL编码用百分号加字符的16进制编码表示字符,于是 %d5%5c 经URL解码后为[诚]。 下面分析攻击过程:
访问 http:// www.2cto.com /test.php?username=test%d5′%20or%201=1%23&pwd=test
经过 浏览器 编码,username参数值为(单引号的编码0×27)
经过php的url解码
username=test 0xd5 0×27 0×20 or 0×20 1=1 0×23 (为了便于阅读,在字符串与16进制编码之间加了空格)
经过PHP的GPC自动转义变成(单引号0×27被转义成\’对应的编码0×5c0×27):
因为在 数据库 初始化连接的时候SET NAMES ‘gbk’,0xd50×5c解码后为诚,0×27解码为’,0×20为空格,0×23为 mysql 的注释符#
上面的SQL语句最终为: SELECT * FROM user WHERE username=’test诚’ or 1=1#’ and password=’test’;
注释符#后面的字符串已经无效,等价于
SELECT * FROM user WHERE username=’test诚’ or 1=1;
条件变成永真,成功注入。
补充:
0xD50×5C不是唯一可以绕过单引号转义的字符,0×81-0xFE开头+0×5C的字符应该都可以;
根据utf8的编码范围,无此问题;
这种变换在xss等领域也可以应用,假如服务端是GBK编码格式。 if($this->server_info() > ‘4.1′){
//mysql_query([SET NAMES ‘gbk’]);
mysql_query([SET character_set_connection=’gbk’,character_set_results=’gbk’,character_set_client=binary]);
}
查看更多关于sql注入绕过单引号 - 网站安全 - 自学php的详细内容...