sqli32关:宽字节注入

最新推荐文章于 2024-04-09 14:58:50 发布
最新推荐文章于 2024-04-09 14:58:50 发布
阅读量382 收藏 1
点赞数
文章标签: mysql 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dirich/article/details/131179071
版权

在闯关之前先来说说什么是宽字节注入。

宽字节注入原理

宽字节顾名思义就是两个及以上的字节表示一个中文汉字。在sql注入中,当用户输入中包含特殊字符,比如(单引号’),(双引号"),(斜杠/)等,为了过滤用户输入的这些特殊字符,会在字符前面加一个\转义字符对特殊字符进行转义。而大多数网站使用utf-8编码,utf-8编码会认为一个中文字符占三个字节;而后端mysql常用GBK编码,GBK编码认为一个中文占两个字节。所以针对这个原理,我们可以构造中文汉字来绕过字符转义。

绕过原理

当输入id=1'的时候,网站的utf-8编码会将1’编码为1\',这里就网站就自动添加了\将后面的'进行了转义;其url编码为1%5c%27。其中%5c是\的url编码;%27是'的url编码。当该语句到后端执行的时候,mysql的编码可是会将%5和%27结合在一起形成两个字节来判断中文汉字。注意,只有当前一个符号的ASCII大于或等于128的时候才能到达汉字范围。

所以为了避免'被转义,我们手动在%5c前面加入一个%df的url编码。(为什么加%df?因为%df的ascii编码刚好是128,所以加上该编码可以达到汉字范围,添加其他的也可以,只要ascii编码大于等于128即可。)这个时候我们的输入变成了id=1%df',同理,url编码会编码为id=1%df%5c%27。这个时候该语句带入到后端执行,GBK编码会认为%df%5c这两个字节构成了一个’運’字,后面的%27仅剩下一个字节,所以不会被解析为汉字。这个时候语句就变成了id=運',就绕过了字符的转义。

接下来进行实战,靶场为sqli-32

进入sqli32.

判断注入点和普通注入类似。首先在url中传参id=1和id=2页面发生了变化,说明前后端发生了交互。

判断字符型还是数字型。url端输入and 1=1和 and 1=2页面没有发生变化,但是url传参id=1'时,页面发生了变化,观察页面提示信息,多出了一个\,判断后端对特殊字符进行了转义。

and 1=2

id=1'

 按照上面说的注入原理,在url端输入id=1%df' order by 4 --qwe页面报错。将order by 4改为order by 3页面没有发生报错,判断字段数为3.

接下来的注入方式就和联合注入差不多啦。

判断占位符的回显位,待会儿我们就要利用回显位置查询出数据库里面存储的相关信息。

注意这里输入id值得时候要构造一个数据库中没有的id号,我这里输入的是id=50,一般输入id=0即可。因为这里只能显示出一个结果,所以当union前面的selec语句能够正确查询出结果的时候只能显示前面selec语句的结构,后面的select语句即使正确,也无法显示出结果,就无法显示出回显位。所以只有当union前面的语句报错的时候才可以先输出后面语句的查询结果。

上面结果可以看出回显位在2,3的位置,接下来构造sql语句查询数据库里面的信息。使用database()和version()函数查看当前数据库和数据库版本。

我们可以看到数据库版本在5.0以上。所以我们可以使用information_schema这个数据库来查询我们想要的信息。

 爆破出当前数据库下面的所有表名。 构造的查询语句为:

union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()-- qwe

接下来我们就可以根据爆破出的表名,查询相应表中的信息。这里以users为例,查询users表中的信息。

但是输入union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'-- qwe报错。因为table_name='users'中的‘也被转义了。

解决办法:使用十六进制进行查询。

 网上搜索一个在线十六进制文本转换器。获取users的十六进制值,利用这个值查询便可以得到我们想要查询的信息。

将后面的十六进制代替url中的'users',别忘了前面加上0x表示十六进制。 

构造的查询语句:union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273-- qwe

其他信息以同样的方式查询即可,这里就不在做过多赘述了。

出了以上手动注入方法我们还可以使用sqlmap工具进行自动化sql注入,之后会出一篇文章。今天就写到这里,吃饭去了~~ 

dirich
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
如何运用字节实现Sql注入
MSB_WLAQ的博客
10-08 263
什么是魔术引号 了解一个PHP的防御函数==》magic_quotes_gpc(魔术引号开) magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。 单引号(’)、双引号(”)、反斜线(\)等字符都会被加上反斜线 magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会再前面加转义字符'\',来做一定的过滤.
渗透测试-SQL注入字节注入
lza20001103的博客
04-20 8389
渗透测试-SQL注入字节注入
SQL注入字节注入
qq_68233961的博客
07-24 1913
SQL注入字节注入
sql注入字节注入
最新发布
weixin_45653478的博客
04-09 577
如果数据库设置字节字 符集 gbk 会导致字节注入,从而逃逸 gpc 前提条件 简单理解:数据库编码与 PHP 编码设置为不同的两个编码那么就有可能产生字 节注入 深入讲解:要有字节注入漏洞,首先要满足数据库后端使用双/多字节解析 SQL 语句,其次还要保证在该种字符集范围中包含低字节位是 0x5C(01011100) 的字 符,初步的测试结果 Big5 和 GBK 字符集都是有的, UTF-8 和 GB2312 没 有这种字符(也就不存在字节注入)。
sql-labs闯32~37
qq_44663230的博客
09-04 2030
sql-labs闯32~37 字节注入集合
字节注入原理学习
身高两米不到的博客
03-18 4953
0x01 开篇 本题用到考点是字节注入,遇到这种注入类型学习记录。 推荐两篇链接:浅析白盒审计中的字符编码及SQL注入 | 离别歌 Von的博客 | Von Blog 为方便自我下次忘记,总结一下: 1.字节涉及到编码问题,便于理解需要看一看 2.字节注入现在已经很少见,因为如今的编码大多使用utf-8 常见url编码: 空格 --%20 ' --%27 # --%23 \ --%5c 0x02 原理 我们注入时都会简单输入一个 ' 或者 " ,进行测试,如果数据库过滤不严格就会产生报错
SQLi-Lab:每个SQL注入实验室
03-29
SQLi-Lab是一个专门用于学习和练习SQL注入技术的平台,对于理解和防范这种攻击非常有帮助。 在"SQLi-Lab:每个SQL注入实验室"中,你可以期待以下的知识点: 1. **SQL注入基础**:了解SQL注入的基本原理,包括如何...
Multi-SQLi:多 SQL 注入
07-16
**多SQL注入(Multi-SQLi):深入理解与防范** 多SQL注入(Multi-SQLi)是指在Web应用程序中存在的一种安全漏洞,它允许攻击者通过输入恶意构造的SQL语句来操纵数据库,获取敏感信息,甚至完全控制服务器。这种攻击...
mysql注入-sqlilabs靶场注入
10-15
SQLiLabs是专门为学习和实践SQL注入技能设计的一个在线平台,它包含了多个级别,每个级别代表一个特定的注入场景,逐步提高难度。通过完成这些卡,你可以理解不同类型的SQL注入漏洞,并学习如何检测和利用它们。 ...
sqli-exploiter:利用sqlmap找不到SQL注入漏洞的工具
05-17
SQLi Exploiter 警告:这不是脚本小工具! 要使用它,需要详细了解该漏洞,全面了解受影响的RDBMS中可用的功能以及编写Python的能力。 好消息是它是高度可配置的。 出于利用sqlmap找不到SQL注入漏洞的需要而产生的...
sqli_lab:学习和练习 SQL 注入的个人实验室
06-28
sql_lab sqli_lab 是一个学习和实践 SQL 注入的个人平台。 所有功劳都归于 udi-1。 所有实验室的想法都是奥迪的。 我只是用自己的方式重新编码了实验室。注射类型基于错误的 SQL 注入(联合选择)。 细绳整数双查询 ...
sqli-lib-(32) 字节注入
qq_44133136的博客
07-29 557
sqli字节注入
8.字节注入
kinght的博客
08-26 451
title: 8.字节注入 date: 2020-08-18 14:05:00 categories: 4.网络安全 1.Web安全 1.SQL注入 tags: 1.Web安全 2.SQL注入 在一些特定的场景,常规语句不能直接进行注入,但是因为程序代码开发存在一些瑕疵,我们可以使用PHP的一些特性进行注入,比如这次的字节注入 字节注入原理 什么是字节? 如果一个字符其大小为1个字节的称为窄字节,如果为两个字符的就被称为字节 一个字节有八个bit,有255种组成方式,英文由于只有24个字.
(手工)【sqli-labs32-38】字节注入、报错回显、字符/数字型注入
07-14 790
【SQL-字节、字符/数字型注入
SQLlib-第32字节注入
千寻的博客
02-22 1299
文章目录字节注入第一节 构造绕过代码第二节注入原理第三节代码审计第四节注入实操判断字段个数判断显示位置判断数据库版本何当前数据库名数据库中的表名表中字段字段内容免责声明 字节注入 字节注入准确来说不是注入手法,而是另外一种比较特殊的情况。 为了说明字节注入问题,我们以SQLi-labs 32 为例子。 第一节 构造绕过代码 [http://192.168.139.136/sqli-lab...
(学习)SQL注入--字节注入
Huang921的博客
11-21 3861
SQL注入字节注入实践
sql注入--字节注入
pakho_C的博客
01-03 668
sql注入字节注入 靶场:sqli-labs-master 下载链接:靶场下载链接 第32 php源码 <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); function check_addslashes($string) { $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\",
SQL Injection6(字节注入)
kid的博客
05-08 844
SQL Injection6(字节注入) 前言 前面sql注入时最怕碰到的就是字符型注入,然后’被过滤,反正当时时没有什么办法解决,但字节注入给这样的情况带来了希望 字节注入原理 首先是编码,之所以产生字节注入,就是因为有不同的编码方式 因为php后端会对我们的输入进行转义,转义的方式通常是加上’\’, 比如 addslashes() 函数返回在预定义字符之前添加反斜杠的字符串(预定义字符...
sql注入——字节注入
cxrpty的博客
02-11 346
字节注入是利用MySQL的一个特性,MySQL在使用GBK编码时,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围) 在sql注入时,addslashes()函数会把你输入的sql语句中的单引号(’),双引号(")等特殊字符转义掉,使之变成字符串,这个时候就需要用到字节注入。 以sql labs32为例 1.在sql labs32中输入http://localho...
sqli-labs字节注入
09-27
sqli-labs字节注入卡是指在sqli-labs闯中的相卡,用于学习和理解字节注入漏洞。它是通过将character_set_client设置为binary来解决字节或多字节问题的方法,从而有效避免字符注入。通过使用工具如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值