SQL注入--宽字节注入原理, 利用以及防御

GBK编码原理

GBK可以是一个字节编码, 也可以为两个字节编码

开头若为0x00-0x7F, 即0-7*16+15=127, 共128个字符, 跟ASCLL一样,  此时一个字节编码

当GBK为两个字节编码时, 则第一个字节是(129-254),第二个字节(64-254)

 MYSQL的字符集转换过程

1. MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection;

2. 进行内部操作前将请求数据从character_set_connection转换为内部操作字符集,其确定方法如下:

· 使用每个数据字段的CHARACTER SET设定值;

· 若上述值不存在,则使用对应数据表的DEFAULT CHARACTER SET设定值(MySQL扩展,非SQL标准);

· 若上述值不存在,则使用对应数据库的DEFAULT CHARACTER SET设定值;

· 若上述值不存在,则使用character_set_server设定值。

将操作结果从内部操作字符集转换为character_set_results。

重点:宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。

宽字节示例

攻击者编写payload: 

�' or 1=1#   即url编码为  %df %27 +or+1 %3d 1 %23      %df(�) %27(')+or+1 %3d(=) 1 %23(#)

经过php中的转义函数addslashes的转义后, 

�' or 1=1#变为�\' or 1=1#  编码为  %df %5c %27 +or+1 %3d 1 %23      %df(�) %5c(\) %27(')+or+1 %3d(=) 1 %23(#)

随后PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码

%df(�)和%5c(\)合并, 成为一个两个字节gbk编码,即 "運"  而 %27(') %3d(=) %23(#)均小于%7F, 即为一个字节的gbk编码,和ascll一致,从而保留下来

改进, GBK转UTF-8

不少程序员有了安全意识,代码会改成这样

mysql_query("SET NAMES binary'");

$id = iconv("gbk","utf-8",$id_tmp);

输入%df%27时首先经过上面提到的单引号转义变成了%df%5c%27(%5c是反斜杠\),然后%df%5c正好属于gbk的汉字编码范围,经过iconv转换到utf-8编码转换后变成了汉字“運”,从而吞掉了反斜杠使得单引号逃脱出来。

%e5%5c%27

变换过程:(e55c转为UTF-8为e98ca6)

e55c27====(addslashes)====>e55c5c5c27====(iconv)====>e98ca65c5c27

可以看到,多出了一个5c,将转义符(反斜杠)本身转义,使得后面的%27发挥了作用。

改进, UTF-8转GBK

mysql_query("SET NAMES binary");

$title = iconv("utf-8","gbk",$title_tmp);

这里我们思考下“錦”这个字,它的utf-8编码是e98ca6,它的gbk编码是e55c,而上面提到过反斜杠\正好为5c。所以如果我们将title设置为:錦’,首先经过addlashes函数或GPC对单引号转义变为:錦\’,然后会经过icnov函数会对”錦”转化为gbk编码,最后就是:%e5%5c%5c%27。反斜杠被转义了(%5c%5c),从而单引号逃逸出来就会引发注入漏洞。

这个情景的大前提是先编码后转义:

e98ca6====(iconv)=====>e55c=====(addslashes)====>e55c5c

防御

对于宽字节编码,有一种最好的修补就是:

(1)使用mysql_set_charset(GBK)指定字符集

(2)使用mysql_real_escape_string进行转义

原理是,mysql_real_escape_string与addslashes的不同之处在于其会考虑当前设置的字符集,不会出现前面e5和5c拼接为一个宽字节的问题,但是这个“当前字符集”如何确定呢?

就是使用mysql_set_charset进行指定。

上述的两个条件是“与”运算的关系,少一条都不行。

 

参考:

https://blog.csdn.net/weixin_30345577/article/details/95128991

https://bbs.ichunqiu.com/thread-15899-1-1.html

 

附加知识点

在MYSQL服务器端进行数据存储时,允许在以下的级别设置字符集:

(1)服务器端字符集(character_set_server)

(2)库字符集

(3)表字符集

(4)字段字符集

优先级为:字段----->表------->库-------->服务器

 

 

 

已标记关键词 清除标记
【为什么还需要学习C++?】 你是否接触很多语言,但从来没有了解过编程语言的本质? 你是否想成为一名资深开发人员,想开发别人做不了的高性能程序? 你是否经常想要窥探大型企业级开发工程的思路,但苦于没有基础只能望洋兴叹?   那么C++就是你个人能力提升,职业之路进阶的不二之选。 【课程特色】 1.课程共19大章节,239课时内容,涵盖数据结构、函数、类、指针、标准库全部知识体系。 2.带你从知识与思想的层面从0构建C++知识框架,分析大型项目实践思路,为你打下坚实的基础。 3.李宁老师结合4大国外顶级C++著作的精华为大家推出的《征服C++11》课程。 【学完后我将达到什么水平?】 1.对C++的各个知识能够熟练配置、开发、部署; 2.吊打一切关于C++的笔试面试题; 3.面向物联网的“嵌入式”和面向大型化的“分布式”开发,掌握职业钥匙,把握行业先机。 【面向人群】 1.希望一站式快速入门的C++初学者; 2.希望快速学习 C++、掌握编程要义、修炼内功的开发者; 3.有志于挑战更高级的开发项目,成为资深开发的工程师。 【课程设计】 本课程包含3大模块 基础篇 本篇主要讲解c++的基础概念,包含数据类型、运算符等基本语法,数组、指针、字符串等基本词法,循环、函数、类等基本句法等。 进阶篇 本篇主要讲解编程中常用的一些技能,包含类的高级技术、类的继承、编译链接和命名空间等。 提升篇: 本篇可以帮助学员更加高效的进行c++开发,其中包含类型转换、文件操作、异常处理、代码重用等内容。
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页