宽字节注入
已知目标IP为:http://219.153.49.228:41742/new_list.php?id=1,加入单引号后页面并没有报错
加上%df,可以看到页面报错,说明是单引号闭合:
后面跟上正常sql注入语句即可,order by判断列数,为5时返回正常:
为6时,返回报错:
联合查询,看到3和5可利用:
查询当前数据库和用户:
查询表格:
查询stormgroup_member 表里的字段,注意,这里ABLE_NAME='stormgroup_member ',里的单引号也被过滤了,需要HEX编码:
爆出字段name,password内容,MD5解密即可:
什么是宽字节注入
1.原理
-
何时使用:有些判断自动给输入的特殊字符前增加\ ,绕过他的方法就是宽字节注入。
-
宽字节注入原理(以下两种说法意思是一致的)
-
已知我们的提交数据会被加入\,\的编码为%5c,我们在前面加上%df后变为了%df%5c,变成一个繁体汉字運,变成了一个有多个字节的字符因为用了gbk编码,绕过了单引号闭合,逃逸了转义
-
PHP发送请求到mysql时经过一次gbk编码,PHP会将获取到的数据进行魔术引号的处理,因为GBK是双字节编码,所以我们提交的%df这个字符和转译的反斜杠组成了新的汉字,然后数据库处理的时候是根据GBK去处理的,然后单引号就逃逸了出来
-
成立前提:只要PHP的编码格式和数据库的编码格式不同,特别是字符不同的编码就可能会造成。如PHP utf-8编码 数据库GBK编码知识点补充:GBK全称《汉字内码扩展规范》,gbk是一种多字符编码。他使用了双字节编码方案,因为双字节编码所以gbk编码汉字,占用2个字节。 一个utf-8编码的汉字,占用3个字节。
2.举例
-
id=1%df’ union select 1,2,3 — qwe 为了绕过转义,成功闭合