GBK字符集漏洞注入原理

<?php $u=isset($_GET['u'])? $_GET['u']:''; $u=addslashes($u); $sql = "select * from user where user='$u'";

以上是我们写的一个测试例子（GBK编码），现在很多开源系统，比较少的进行统一参数过滤，有时候为了防止注入，就直接对参数进行转义处理。我们看看，这样一个例子，我们怎么样注入进系统！

步骤	备注
1.传入值%D5%27 or 1=1#	u参数参入上面值 (%27 对应是“’”  单引号字符)
2.GET获取的值	0xD50x27 or 1=1#
3.Addslashes后值	0xD50x5C0x27 or 1=1 (意思是：誠’ or 1=1#’)  #字符后面被注释掉
4.sql值 将变成	select * from user where user=’誠’ or 1=1#’
#号是sql注释符号，后面字符将截取掉

GPC转义打开，或者是通过addslashes函数，会自动在字符是单引号（‘）、双引号（"）、反斜线（\）与 NUL（NULL 字符）等字符前面增加“\”字符（0x5c)，例子里面，我们采用一个特殊前面字节0xD5，它将与该字节组合变成：0xD50x5c ，刚好是gbk字符集中字符：”誠“ 了。 后面的0×27这个单引号被保留下来了！

GBK字符集漏洞注入总结

呵呵，这个很有意思吧，好了。我们来总结下，这类注入是2个条件的。第一是：gbk编码，第二是：程序采用了转义方法，转义了输入。 这2个条件不苛刻，目前大部分开源系统都有gbk,utf-8编码的源码，剩下的就去看看，源码里面有没有用类似转义方法，过滤字符串了。如果有，那么这个系统某个功能，你可以去渗透下了。这个编码漏洞，网上面提的很多，不过很多时候，没有引起开发人员的足够重视，还是在不断的重现！

那么我们如果要注入一个参数，我们该选择什么样的入参参数呢？其实这种转义字符是单引号（‘）、双引号（"）、反斜线（\）与 NUL（NULL 字符），我们这些字符往往在程序中有特殊作用，我们只需要在前面加一个在>7F字符，后面接一个%27（‘）、%22（"）、%5C（\）、%00（NULL 字符），就可以自己让这4个字符，可以逃脱转义了。

好了，这个漏洞原理及注入过程分析就这些了。我们开发时候，需要注意这个问题，特别是使用GBK编码开发程序，要有这个方面的预备知识，对于自己开发安全的代码会有帮助的。更多的GBK编码，可以看http://doc.chacuo.net/gbk ！（这里有很多落在5c中文字符呢）也欢迎讨论！

多字节编码由来

我们先来看看最常用的，最小字符集是ascii，对应的二级制可以表示为：00-7F 编码 。它也是我们计算机使用最早通用的字符集。前期几乎可以表示所有英文字符。后来，更多使用计算机国家加入后，我们就想在计算机中表示中文字符。我们知道常见中文就有7000多个字符。ascii码就只有128字符，只有0-127编码位置，远远不够用了。因此，我们就开始制作更大字符集，并且保证兼容ascii编码。要支持更多字符，选择更大字符集。我们只能用多个字节来描述一个字符了。为了很好的与ascii码，区分开来！一般做法是：每个字节值都大于>7F，如果是2个字节，那么就是：[>7F][>7F]。这样编码，保证很好的与ascii区分开，并且扩大了字符集。像gb2312范围在[0xA1-0xF7][0xA1-0xFE](中间很多没有填满)，它完全保证所有字节在A0之上，也就完全满足在7F之上了。

GBK编码漏洞缘由

通过上面的分析，我们知道gb2312编码是很好的跟ascii码分开了。 那么我们看看，GBK编码呢，它是完全兼容gb2312（就是说在gb2312字符集中每个字符位置，与gbk字符集里面位置完全一致，而且包含于gb2312)，但是，它有2万多个字符。从上面看，只能选择往下排序了。 就是从A1A0往下排了，我们发现它编码实际范围是：[0x81-0xFE]([0x40-0x7E|0x80-0xFE] ) （GBK编码），我们发现由2个字节组成，首字节范围在7F之上，而第2个字节，有一部分在0×40-0x7E了。这就是导致bug原因。我们看看下面例子吧！

从ASCII码表中，我们知道0×40-0x7E 包含字符有：“A-Za-z@[\]^_`{|}~”，一共有63字符呢。

选择gbk编码，运行上面代码，就一条简单的命令导致出现错误，说字符串 赋值 没有结束！ 呵呵，估计很多人看到这个就会认为是php 出Bug了。但是，如果我们变成$a=”誠a”，发现可以正常运行了。是不是觉得很奇葩啦！！

 

原因分析:我们知道文件存在磁盘都是二级制方式，无论你存什么字符，最终都是以该字符的在所选字符集中字符编码保存。php解析时候，最小分析单元是字节。无论你是多字节还是单字节字符。最终都是按照字节来处理的。“誠”  GBK编码是 D55C，php按字节来解释，5C对应字符是“\” 字符。后面直接跟个‘”’，相当于被转义了。 因为没有闭合，因此出现错误！。大家看出问题所在了吧，按自己处理的话，会自然把多字节拆成单字节了。这样就会出现很多奇怪问题了。

总结：通过上面讲解，我们知道了多字节编码过程，以及GBK导致简单程序出错的原因。其实，我们很多程序语言里面，都会以单个字节来解析的。这样，当你选择多字节GBK编码中文时，刚好有字节落在特殊位置，将会出现奇怪错误问题。而且，还将给系统带来本身的漏洞，后面我再说说，GBK编码缺陷，导致漏洞、以及专门利用该编码漏洞缺陷进行系统入侵！好了，先到这里了，欢迎交流！