欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

VBS字符串的内部实现

程序员文章站 2022-06-23 21:03:31
最近对 vbs 字符串 chr(0) 注①截断讨论得比较多,看来有必要介绍一下 vbs 字符串的内部实现。demon 友情提示:本文需要一些 c 语言和 windows 编...
最近对 vbs 字符串 chr(0) 注①截断讨论得比较多,看来有必要介绍一下 vbs 字符串的内部实现。demon 友情提示:本文需要一些 c 语言和 windows 编程的知识,vbscript 初学者慎入。

vbs 是基于微软的 activex/com 技术实现的,而 com 对象为了做到支持任何语言,定义了一系列通用的数据类型,微软称之为自动化对象类型(automation data types),其中之一就是 bstr。vbs 在内部是以 bstr 来表示字符串的,bstr 在 wtypes.h 中定义:
复制代码 代码如下:

typedef wchar_t wchar;
typedef wchar olechar;
typedef olechar *bstr;

从定义可以看出,bstr 是指向 wchar_t 类型(也就是 c 语言中的 unicode)的指针,但是 bstr 并不是普通的 wchar_t 指针。标准 bstr 指向一个有长度前缀和 nul 结束符的 wchar_t 数组。bstr 的前4字节是一个表示字符串长度的前缀。bstr 长度域的值是字符串的字节数,并且不包括 nul 结束符。常用的 bstr 处理函数请参考 msdn 文档

理论说的有点抽象,下面用代码来说明:

复制代码 代码如下:

str = "hello" & chr(0) & "world"

这是一句很简单的 vbs 代码,但是 vbscript 解释器在内部做了什么呢?其实就是初始化了一个 bstr 变量(不考虑字符串连接过程):
复制代码 代码如下:

/* 仅仅为了演示,实际代码肯定不是这样的 */
bstr str = sysallocstringlen(l"hello\0world", 11);为了更清楚地了解 bstr 的结构,我们换一种写法:

/* bstr 包含长度前缀,但是却实际指向第一个字符 */
wchar_t arr[] = {22,0,'h','e','l','l','\0','w','o','r','l','d','\0'};
bstr str = &arr[2];这个 bstr 在内存中的结构为:

00000000 16 00 00 00 48 00 65 00 6c 00 6c 00 6f 00 00 00
00000010 77 00 6f 00 72 00 6c 00 64 00 00 00

橙色表示四个字节的长度前缀。红色高亮表示 bstr 指针的当前指向,蓝色高亮表示字符串中的 chr(0) 字符,绿色高亮表示 bstr 的结束字符 nul(该字符是 sysallocstringlen 函数加上去的,因为是 unicode,所以要占两个字节)。也就是说,如果不考虑前面四个字节,bstr 就是 c 语言中的 null-terminated string。

再看一段 vbs 代码:

msgbox len(str)用 msgbox 来显示刚才定义的字符串长度,vbscript 解释器内部又做了什么呢?是不是像 c 语言标准库函数 strlen 一样,遍历整个字符串,以 nul 作为字符串结束的标识呢?
复制代码 代码如下:

/* c语言 strlen 函数的简单实现 */
size_t strlen (const char * str)
{
const char *eos = str;
while( *eos++ ) ;
return( (int)(eos - str - 1) );
}

答案显然是否定的,因为字符串中含有 chr(0),如果像 strlen 这样实现,那么就会被 chr(0) 截断,len 函数应该返回5才对,然而实际上返回的是11这个正确的数字。

vbs 的 len 函数内部应该是这么实现的:
复制代码 代码如下:

/* 同上,仅为演示 */
size_t len(const bstr str)
{
return sysstringlen(str);
}

或者不调用 windows api,由于 bstr 前4个字节前缀表示字符串的字节数(不包括结尾的 bul 字符),所以只要移动一下指针就行了:
复制代码 代码如下:

/* 强制转换成int指针减一后读取,然后除以2(一个unicode字符两字节) */
size_t len(const bstr str)
{
return *((int *)str - 1) / 2;
}

可以看出,由于 bstr 的长度可以通过前缀取得,并不需要以 nul 来作为字符串结束符,也就是说,vbs 字符串是 binary safe (二进制安全)的。

那么为什么下面的代码只能显示 hello 呢?

msgbox str这看起来好像和上面说的矛盾,其实不然。vbs 字符串的确是兼容 chr(0) 字符的,msgbox 之所以会被 chr(0) 截断,是因为 msgbox 在内部调用了 messagebox 函数,而该函数是以 nul 作为字符串结束符的。
复制代码 代码如下:

/* 简单起见只实现一个参数
* messagebox 的第二个参数是以 nul 作为结束符的
* pointer to a null-terminated string that contains the message to be displayed.
* 所以 vbs 字符串中包含的 chr(0) 会把字符串截断
*/
int msgbox(const bstr str)
{
return messageboxw(null, str, l"", 0);
}

也就是说,如果 vbs 内置的函数或者 com 组件的某些方法在其内部实现中调的 windows api 的字符串参数是以 nul 作为结束符的话,就会被 chr(0) 字符截断。

现在再去看《asp/vbscript中chr(0)的由来以及带来的安全问题》、《asp上传漏洞之利用chr(0)绕过扩展名检测脚本》、《asp缺陷—-一个特殊字符chr(0)》、《用python脚本写asp页面》,应该就不会有疑问了吧。

时间关系就不再展开了,如果你想了解更多关于 com 组件的知识,我推荐你拜读一下 jeff glatt 的神作《com in plain c》。

仅以此文回答。

注①:本文中 chr(0) 和 nul 交替使用,表示同一个意思。

原文: