sqli-labs Less-32、33、34、35、36、37(sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入

最新推荐文章于 2024-04-18 10:18:58 发布
最新推荐文章于 2024-04-18 10:18:58 发布
阅读量1.7k 收藏 5
点赞数 4
分类专栏: sqli-lab靶场 文章标签: web安全 安全 mysql 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54899775/article/details/122160816
版权

目录

Less-32

Less-33

Less-34

Less-35

 Less-36

Less-37

宽字节注入简介

        Less-32,33,34,35,36,37 六关全部是针对’和\的过滤,所以我们放在一起来进行讨论。
        对宽字节注入的同学应该对这几关的 bypass 方式应该比较了解。我们在此介绍一下宽字节注入的原理和基本用法。
        原理:mysql在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个
汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ’ 的时候,往往利用的思路是将' 转换为 \'(转换的函数或者思路会在每一关遇到的时候介绍)。
        因此我们在此想办法将 ' 前面添加的 \ 除掉,一般有两种思路:
        1、%df 吃掉 \ 具体的原因是 urlencode(‘\) = %5c%27,我们在%5c%27 前面添加%df,形
成%df%5c%27,而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字,此事%df%5c就是一个汉字,%27则作为一个单独的符号在外面,同时也就达到了我们的目的。
        2、将\'中的\过滤掉,例如可以构造%**%5c%5c%27的情况,后面的%5c会被前面的%5c
给注释掉。这也是bypass的一种方法。

        具体分析一下原理:

        1、正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的',就会被转义为\';
        2、若存在宽字节注入,输入%df%27时,经过单引号的转义变成了%df%5c%27,之后再数据库查询语句进行GBK多字节编码,即一个中文占用两个字节,一个英文同样占用两个字节且在汉字编码范围内两个编码为一个汉字。然后MySQL服务器会对查询语句进行GBK编码即%df%5c转换成汉字"運",单引号逃逸出来,从而绕过转义造成注入漏洞。

        宽字节注入原理可以参考:宽字节注入原理 - My_Dreams - 博客园

5. 宽字符注入详解与实战 - bmjoker - 博客园

Less-32

GET-绕过自定义筛选器,将斜杠添加到危险字符。即基于错误_GET_单引号_字符型_转义引号反斜杠_宽字节注入。

 源码:

        源码中对输入的id进行了过滤,过滤 ' 、\ 的函数,将 ' 转为 \' , 将 \ 转为 \\ ,将 " 转为 \"。

        直接进行漏洞利用时会有问题:

 提示将“ ' ”转化为了“ \' ”。

解题思路:
        需要在构造一个反斜杠来转义后一个反斜杠达到过滤的效果。
        ?id=-1%df' union select 1,2,3 --+

        若存在宽字节注入,输入%df%27时,经过单引号的转义变成了%df%5c%27,之后再数据库查询语句进行GBK多字节编码,即一个中文占用两个字节,一个英文同样占用两个字节且在汉字编码范围内两个编码为一个汉字。然后MySQL服务器会对查询语句进行GBK编码即%df%5c转换成汉字"運",单引号逃逸出来,从而绕过转义造成注入漏洞。

爆数据库名:

?id=-1%df' union select 1,(select group_concat(schema_name) from information_schema.schemata),3 --+ 

 其他的都和Less-1一样,只是在“ ' ”前面加上了%df将%5c 吃掉

最低0.47元/天 解锁文章
景天zy
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sqli-labs靶场详细攻略Less 34-37
qq_41755084的博客
10-31 966
这一关还是进行宽字节注入,与上一关的区别在于使用了post方法进行传递。先试一下上一关的注入代码。因为这一关是登录,就使用之前的dumb账号。登陆失败了,也没报错,看一下这个包传递时post方法里参数是咋传的。可以看到,我们输入的注入代码在前端被进行了一个url编码,%被编码成了%25,原来的空格被替换成了+,原来的+被替换成了%2b那我们再把这个包改回来就好,+不用改回空格,在服务端会改回来的。并且经过尝试,这里的列数为2。注入成功。
Sqli-labs之Less-34
→_→
05-02 2165
Less-34 基于错误_POST_单引号_字符型_addslashes()_宽字节注入 《注入天书》中介绍因 POST 不能进行 URLencode,可使用 UTF-8 转 UTF-16 或 UTF-32,实践中发现正常的宽字节注入仍有效,猜测是编码的问题,待解决。 一个参考:...
sqli-labs (less-34)
kukudeshuo的博客
03-14 1507
sqli-labs (less-34) 进入34关,我们发现又回到了我们熟悉的页面,我们直接输入用户名和密码登入进去 像之前的关卡一样,我们输入的用户名和密码也是使用POST的方式传输到了服务器,所以我们继续使用hackbar工具抓取POST内容 在用户名的位置我们输入一个单引号试试,结果发现单引号被转义 那我们在密码的位置尝试输入一个单引号试试,结果发现也被转义 这里一般情况下就已经没有注入点了,但我们可以查看源代码看看这关是不是也使用了GBK编码 查看源代码可知确实使用了GBK编码,那就很简单
SQLi LABS Less-35_sqli-labs第三十五关,【深夜思考】
最新发布
2401_83974639的博客
04-18 327
此关卡通过 代码WAF 转义了单引号’ , 我们使用 编译 绕过WAF , 先上结果。
sql-labs闯关32~37
qq_44663230的博客
09-04 1986
sql-labs闯关32~37 宽字节注入集合
sql-lab (32~35)包含对 宽字节注入的原理理解及注意事项(后持续更新)
m0_62879498的博客
01-18 1099
(32~35)包含对 宽字节注入的原理理解及注意事项 sql-lab-32 我们先对32关进行一个传参,发现: 1\'and 1=2 在这里 \ 代表的意思是‘转义’,把后面的 ‘ 转义成了字符串,使单引号不再具有’作用‘,仅仅是’内容’而已,或者说这个单引号无法发挥和前后单引号闭合的作用,使后面的输入不被当作代码执行。 所以我们就有两个办法: 让 \ 失去作用 让 \ 消失 对与思路一,我们可尝试对 \ 进行转义,使其失去转义 ‘ 的作用。 宽字节这
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
windows环境下安装sqli-labs
11-04
windows server 2012 环境下,安装sqli-labs的详细教程,适合新手小白,大神可以参考一下,有不足的地方请联系我。
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
SQLi-LAS 3 4 关卡宫攻略
Hjdnknd的博客
06-13 154
第三关1.先查看闭合?id=1\可以看到是‘)2.?id=1') order by 3 -- -查看字段是33.?id=-1 union select 1,2,3 -- -查看可用的爆破点位4.?id=-1 union select 1,version(),database() -- -查看版本和当前库 5.?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=
sqli-labs (less-32)
kukudeshuo的博客
03-13 1884
sqli-labs (less-32) 进入32关,输入 http://127.0.0.1/sql1/Less-32/?id=1 http://127.0.0.1/sql1/Less-32/?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸,
sqli-labs闯关记录(Less32-Less37
BROTHERYY的博客
09-08 223
Advanced InjectionsLess-32 Bypass addslashes()Less-33 Bypass addslashes()Less-34 Bypass Add SLASHESLess-35 why care for addslashes()Less-36 Bypass MySQL Real Escape StringLess-37 MySQL_real_escape_string Less-32 Bypass addslashes() payload:?id=-1%df%27unio
sqli-labs/Less-33
m0_71299382的博客
11-20 177
sqli-labs第三十三关
sqli-labs/Less-34
m0_71299382的博客
11-21 339
sqli-labs第三十四关
sqli-labs————Less-34(宽字节绕过、水平越权、盲注)
Fly_鹏程万里
05-19 2495
Less-34方法一:这一关是POST型的注入,同样的将post传递过来的内容进行了转义处理,过滤了单引号、反斜杠。有之前的例子我们可以看到%df可以将转义的反斜杠给吃掉。而GET型的方式我们是以url形式提交的,因此数据会通过urlencode,如何将方法用在POST型的注入当中呢?我们可以将UTF-8转换为UTF-16或者UTF-32,例如将'转换为utf-16为: �'。我们可以利用这一点注...
# SQLILABS 34-61
yaoge1225的博客
07-23 157
SQLILABS 34-61 level 34 十六进制代替 " "里的东西 1 �’union select 1,group_concat(schema_name) from information_schema.schemata # 1 �’union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x63746673686f77 # level 35 有点直接。。。数字型注入???
sqli-labs闯关指南
05-10
SQLi-labs是一个用于学习SQL注入的练习平台,有多个挑战关卡,每个关卡都有不同的难度和注入类型,以下是一个简单的闯关指南: 1. 首先下载SQLi-labs,安装并启动该应用程序。 2. 在浏览器中打开SQLi-labs主页,找到挑战页面并选择第一个挑战关卡。 3. 阅读挑战的描述,了解注入类型和目标。 4. 在浏览器中打开Burp Suite或其他代理工具,拦截请求,并尝试在参数中注入代码。 5. 尝试不同类型的注入,如基于错误的注入、基于时间的注入、UNION注入等。 6. 如果注入成功,则可以尝试提取敏感数据或修改数据。 7. 完成挑战后,继续下一个挑战关卡,直到完成所有挑战。 在闯关过程中,需要掌握SQL注入的基本原理和技巧,如使用单引号和双引号、使用注释符号、使用特殊字符等。同时还需要了解常见的注入类型和防御措施,以便更好地攻击和防御。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值