宽字节注入
魔术引号是什么?
我们现在要了解一个PHP的防御函数
magic_quotes_gpc(魔术引号开关)
magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有: post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。
**magic_quotes_gpc的作用:**当PHP的传参中有特殊字符就会再前面加转义字符,来做一定的过滤
单引号(’)、双引号(”)、反斜线(\)与 NULL (NULL字符)等字符都会被加上反斜线
单引号和双引号内的一切都是字符串,那我们输入的东西如果不能闭合掉单引号和双引号,我们的输入就不会当作代码执行,就无法产生SQL注入。
我们学习SQL注入的时候有个东西叫闭合
闭合(因为引号内得一切都是字符串,所以我要让我的传参的一部分能跳出这个引号)
例如:select *from news where id=‘1’
我们传个单引号,再把后面注释掉,我们就能在里面写入我们要执行的SQL语句,但现在魔术引号出现了,他会转移我传参的内容,闭合都闭合不了了,又何谈注入!
但魔术引号在PHP5.4以上的版本被取消了,不意味着没有了这种机制,出现了addslashes ( )这个函数与魔术引号具有相同作用
什么是GBK编码格式?
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比
如我国的gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,推出了gbk和utf-8两个版本(例如: dedecms)
我们就以gbk字符编码为例,拉开帷幕。GBK全称《汉字内码扩展规范》, gbk是一种多字符编码。他使用了双字节编码方案,因为双字节编码所以gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。我们可以通过输出来验证这句话。
例如:0xD50×5C对应了汉字“诚”,URL编码用百分号加字符的16进制编码表示字符,于是%d5%5c经URL解码后为“诚”。
所以这个编码对宽字节注入有什么用,\经过编码之后是%d3,我们可以在后面在加个字符让他们的整体变成汉字,这样转义符就失效了!
宽字节SQL注入主要是源于程序员设置数据库编码为非英文编码那么就有可能产生宽字节注入
例如说MySql的编码设置为了SET NAMES 'gbk’或是SET character_set_client =gbk,这样配置会引发编码转换从而导致的注入漏洞。
宽字节SQL注入就是PHP发送请求到MySql时使用了语句
SET NAMES 'gbk’或是SET character_set_client =gbk进行了一次编码,但是又由于一些不经意的字符集转换导致了宽字节注入。
原理我们知道了,我们去靶场练习一下!
Rank1
我们发现这样闭合不了,那就单引号前面一般在加个%df就行了!
老样子猜字节:
还是3个,联合查询查库表字段及数据:
正常的查询我们发现并没有成功,问题出在了china_flag表名那里字符串用引号包裹但又被转义符扰乱了,所以这里一般选用两种方式解决:
在数据库中可以接受16进制数据,所以方法一就是把这个表名用16进制替代,第二种就是SQL的子查询,但这么写有点长就不演示了。
来看第一种:
找一个在线的字符串转16进制就行了
成功拿到字段名!继续:
老样子第一题先交第一个试试:
结束!
Rank2
前面猜字段环节结束!
交第二个试试:
搞定!
Rank3
哎,我们发现这里没有成功怎么回事?
前面我们都是url栏的get传参,它会进行编码和解码,但这里登录框是post传参它不会进行编码解码。
这里写一种比较简单的方法,传一个汉字
UTF-8=>3字符
GBK =>2个字符
=>1个字符
外面传参一个汉字,一般网站都是(UTF-8)3个字符
进了数据库是GBK编码 3+1=4 =>这是两个汉字
所以utf-8的三个字符和转义符的一个字符组成了4个字符,最后被gbk编码变成了两个汉字就行了。
成功登录!继续查询就行了:
联合查询:
没发现它的注入点…
这又是个布尔盲注,用burp抓跑跑出库名,然后上sqlmap吧,手测也行就是耗点时间。
未完待续…
1087
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
