webug4.0 宽字节注入

最新推荐文章于 2022-06-13 22:18:19 发布
最新推荐文章于 2022-06-13 22:18:19 发布
阅读量526 收藏 1
点赞数 1
分类专栏: Webug4.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angry_program/article/details/103860262
版权

防止sql手工注入

在php+mysql中, 可以通过转义特殊字符来防止污染sql语句(防注入),

有两种情况:

  1. 魔术引号, magic_quote_gpc 开关,不过高版本的PHP将去除这个特性
  2. 安全函数, addslashes,mysql_real_escape_string,mysql_escape_string等。

 

宽字节注入

上有计策下有对策, 当程序员设置数据库编码与php编码为不同的两种编码,那么就可能产生宽字节注入, 也称GBK双字节绕过。

也可以采用编码绕过。

 

涉及的基本概念

 

  • 字符、字符集 

字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(encoding)来确定这个字符在该字符集中的位置。

  • UTF8 

由于ASCII表示的字符只有128个,因此网络世界的规范是使用UNICODE编码,但是用ASCII表示的字符使用UNICODE并不高效。因此出现了中间格式字符集,被称为通用转换格式,及UTF(Universal Transformation Format)。

  • 宽字节 

GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象,即将两个ascii字符误认为是一个宽字节字符。
 

 

1. 引发原因

php编码为utf-8, 而mysql的编码设置为set  names 'gbk'或set character_set_client=gbk,php中编码为gbk,函数执行添加的是

ascii编码,mysql默认字符集是gbk等宽字节字符集。

这样配置会引发编码转换从而导致的注入漏洞(一个gbk编码汉字,占用2个字节,一个utf-8编码的汉字,占用3个字节)

 

2. 注入原理

注入原理很简单, 就是编码, 一点一点分析:

假设一个url有注入, 但是有安全函数, 我们敲单引号会被过滤,那么怎么办呢?这时候就利用GBK双字节注入

我们在后边这么构造url一个尝试:

http://www.****.com/index.php?id=1%df' and 1=1

其中,

%df '  经过安全函数之后在 ' 之前会被加上一个转义符号'\', 即:  %df \'

由于采用的是url编码, 最后转化为:

%df%5c%27

关键就在这,%df会吃掉%5c,形成一个新的字节, 形象一点就是%df遇到%5c会把%5c吃掉,形成%df%5c,这个编码经过代码

解码后会形成一个汉字“誠”

还不明白? 没关系, 举一个简单的栗子:

xi'an (西安) ==>  xian(先) 

值得一提的是, 并不是唯一的使用%df, 只要编码超过ascii码(128)之后, 可以自己组合。只要是汉字就都可以使用

总的来解释一下,

因为%df的关系,\的编码%5c被吃掉了,也就失去了转义的效果,即安全函数丧失了作用, 被直接带入到mysql中,然后mysql在解读时无视了%df%5c形成的新字节,那么单引号便重新发挥了效果, 就可以构造注入了。

 

3. 实战

话不多说, 直接实战webug4.0 宽字符注入:

 

1)  尝试旧方法, 发现不管输入单引号还是整数型都无效, 于是初步判断有安全函数

2)  尝试宽字符注入:

可以看到, %df与转义符结合形成一个汉字(乱码), 然后构造的单引号重新发挥了作用, 注入漏洞就因此产生。

最后我们再在url最后加一个注释符, 将php代码中的字符串引号注释掉:

最终确认为宽字符注入型

3)  下面就是之前的常规操作了

  • 爆字段数

        构造url:  http://localhost:32768/control/sqlinject/width_byte_injection.php?id=1%df%27%20order%20by%203%23

     

      再输入2正常页面, 得出字段数为2

  • 同理可以爆数据库: 

       

      恩, 挺不错的, 宽字节注入的题, 关于数据库也是相同的名字

  • 爆表

果然, 引号还是会被安全函数转义, 这里采用编码绕过:

webug_width_byte 对应的十六进制编码:  0x77656275675f77696474685f62797465

             

猜测数据在sqlinjection下

  • 爆字段+爆数据

       最终发现数据不在webug_width_byte数据库中....哭晕...

       还是老老实实爆webug那个数据库吧......应该还是在env_list那个表中..

       

值得一提的是,  1)  记得要用数据库.表来引用目标表, 因为不确定当前数据库下也有相同的表名,

                         2)  通过前面的几道题, 发现了第几题的数据在对应题号的id中。

 

4. 安全应对方案

对于宽字节编码,有一种最好的修补就是:

(1)使用mysql_set_charset(GBK)指定字符集

(2)使用mysql_real_escape_string进行转义

原理是,mysql_real_escape_string与addslashes的不同之处在于其会考虑当前设置的字符集,不会出现前面%df和%5c拼接为一个宽字节的问题,但是这个“当前字符集”如何确定呢?

就是使用mysql_set_charset进行指定。

上述的两个条件是“与”运算的关系,少一条都不行。

 

参考: 

angry_program
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
宽字节注入详解-附件资源
03-05
宽字节注入详解-附件资源
webug4.0-宽字节注入
nex1less的博客
08-27 290
0x01 相关知识 1. 宽字节是什么? 宽字节字符集:一般指Unicode编码的字符集 2. 宽字节注入的作用是什么? 可以绕过转义,也是绕过转义的其中一个办法 3. 宽字节注入产生的原因是什么? MySQL连接时错误配置为:set character_set_client=gbk 本例错误配置PHP代码:$dbConnectWidth->query("SET names...
webug宽字节注入
我只会装360的博客
10-08 200
GBK是一种多字符编码,一个汉字占2个字节,utf-8编码的汉字占3个字节。 addslashes() 函数会对括号里 (’) 、(")、 ()、 (NULL)、的四个字符添加反斜杠并将其返回。 Mysql有一个特性,在进行GBK编码时会将两个字符认为一个汉字(前提是第一个字符的ASCII大于128才能达到汉字范围)。 如果SQL输入经过了addslashes() 函数处理,我们输入’ 时 会变...
webug4.0宽字节注入-6
weixin_34324081的博客
03-17 207
0x00  前言 GBK是一种多字符编码,一个汉字占2个字节,utf-8编码的汉字占3个字节。 addslashes() 函数会对括号里 (') 、(")、 (\)、 (NULL)、的四个字符添加反斜杠并将其返回。 Mysql有一个特性,在进行GBK编码时会将两个字符认为一个汉字(前提是第一个字符的ASCII大于128才能达到汉字范围)。 如果SQL输入经过了addslashes() 函...
webug 4.0 第六关 宽字节注入
ONS_cukuyo的博客
03-08 1169
感谢webug团队一直以来的更新维护! webug是什么 WeBug名称定义为“我们的漏洞”靶场环境基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBugweb环境都装在了一个纯净版的Windows 2003的虚拟机中。 Webug官网:http://www.web...
webug4.0—宽字节注入
Stephen Wolf
01-10 290
宽字节注入原理即是利用编码转换,将服务器端强制添加的本来用于转义的\符号绕过,从而能使攻击者输入的引号起到闭合作用,以至于可以进行SQL注入。 前言 GBK是一种多字符编码,一个汉字占2个字节,utf-8编码的汉字占3个字节。 addslashes() 函数会对括号里 (') 、(")、 (\)、 (NULL)、的四个字符添加反斜杠并将其返回。 Mysql有一个特性,在进行GBK编码时会...
13 宽字节注入1
08-03
13 宽字节注入1
C++多字节字符与宽字节字符相互转换
09-05
最近在C++编程中经常遇到需要多字节字符与宽字节字符相互转换的问题,自己写了一个类来封装wchar_t与char类型间的转换
网络安全 宽字节注入 CMS网站渗透实战 学术交流
12-05
web安全初学者,跟着公开课学习了一段时间,第一次在靶场环境下,边查询边过关,请教了不少人,对blueCMS系统存在的宽字节注入漏洞成功进入后台,找到后台文件编写路径,写入一句话木马,通过蚁剑连接成功后,开始提...
webug---SQL注入之宽字节注入
weixin_44352521的博客
12-17 169
宽字节注入原理: 如图,是一段源码,我们来看看这段源码的功能: 第一行是连接数据库 第二行是设置编码为gbk编码,即中文编码 第四行使用addslashes()函数,这个函数是用来转义单引号的,会将单引号转义为\',这样的话转义之后我们就无法闭合sql语句 例如: select first_name,last_name from id='1'; 上面的sql语句,如果是采用单引号闭合,那么经过...
webug 6、宽字节注入
乔木同学
03-15 922
url:http://192.168.1.4/control/sqlinject/width_byte_injection.php?id=1 http://192.168.1.4/control/sqlinject/width_byte_injection.php?id=1%df’ and 1=1 --+ 不报错 http://192.168.1.4/control/sqlinject/width_byte_injection.php?id=1%df’ order by 2 --+ 不报错 http://1
Webug4.0 链接注入
angry_program的博客
01-08 270
链接注入 链接注入是属于xss漏洞的一种, 攻击者通过构造恶意链接, 掺杂在一些标签中, 当用户点击时候, 引发调用远程木马程序, 导致信息泄露。 实战 看到id被输出在界面, 尝试是否存在链接注入漏洞: 添加链接: <a href="https://www.baidu.com">hack</a> 点击hack按钮之后, 跳转到: ...
Webug4.0靶场通关笔记(第三天)--------过滤注入和宽字节注入
Yasso的博客
02-21 717
一、过滤注入 这一关为过滤注入,我以为过滤了空格,百度说过滤了select,单独输select会报错。。。。。。。 那这就跟第四关POST注入一样,还是搞吧,POST省略了,这个不能省了。。。。。 1.是否报错 加个单引号会报错 2.既然有报错,先判断列数 可以看出有两列,尝试报错注入 union select 1,database()# -------------但页面没有回显,所以不能用显错注入 再次尝试 and 1=1# 和 and 1=2# -----但无论对错,都没有回显 所
webug 4.0 第十四关 链接注入
ONS_cukuyo的博客
04-22 898
感谢webug团队一直以来的更新维护! webug是什么 WeBug名称定义为“我们的漏洞”靶场环境基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBugweb环境都装在了一个纯净版的Windows 2003的虚拟机中。 Webug官网:http://www.webug.org...
webug4.0注入篇09-14
Xor0ne
06-12 452
XSS攻击 XSS过滤绕过速查表:https://www.freebuf.com/articles/web/153055.html XSS绕过过滤方法大全(約100种):https://www.fujieace.com/penetration-test/xss-100.html 1.需要向web页面注入恶意代码; 2.这些恶意代码能够被浏览器成功的执行。 XSS跨站脚本攻击:恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储型攻击,恶意代码被保存到
web安全 宽字节注入、堆叠注入
m0_68167825的博客
06-13 774
宽字节是相对于ascII这样单字节而言的;像 GB2312、GBK、GB18030、BIG5、Shift_JIS 等这些都是常说的宽字节,实际上只有两字节。GBK 是一种多字符的编码,通常来说,一个 gbk 编码汉字,占用2个字节。一个 utf-8 编码的汉字,占用3个字节。转义函数:为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义;宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且
Web安全原理剖析(八)——宽字节注入攻击
热门推荐
Phantom03167的博客
09-25 1万+
宽字节注入攻击
webug靶场注入篇
weixin_45705209的博客
08-26 814
注入 显错注入 单引号报错,构造闭合,payload' and 1=1--+与 ' and 1=2,页面返回的信息不一致,由此还可以判断出存在注入,用order by查出字段数为二,union 联合查询找到回显点位置,带入select语句查询。 查询所有的库名payload:-1' union select 1,group_concat(schema_name) from information_schema.schemata --+,这里查出来的库有一些我在本地搭建环境中其他的库,其中informatio
Webug4.0 万能密码登陆
angry_program的博客
01-06 1140
概念 顾名思义, 万能密码登录就是只要有输入一个"特殊"的用户名, 密码随意输入就可以登录系统 分析 1. 我们先分析一下目标网站, 随便输入用户名和密码, 查看post包: 发现存储用户名和密码的变量分别是: username, password 2. 猜想登录的sql语句, 大体思路是, 只要输入的用户名和密码与数据库中的用户名和密码匹配, 就登录成功, sql语句如...
sql注入宽字节注入
最新发布
07-28
SQL注入和宽字节注入都是常见的安全漏洞类型。下面我将简要介绍这两种注入方式。 1. SQL注入: SQL注入是一种在应用程序中利用不正确处理用户输入的漏洞,攻击者可以通过在用户输入中插入恶意的SQL代码来执行非授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值