利用数据库编码特性绕过

最新推荐文章于 2024-10-17 18:58:27 发布
最新推荐文章于 2024-10-17 18:58:27 发布
阅读量1k 收藏 10
点赞数 20
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63050933/article/details/141113886
版权

创建一个test.php文件

在数据库下创建demo数据库,在里面建表,并插入一条字段

访问test.php

尝试利用username=admin绕过,但是被拒绝,因为代码不允许

所以我们只能利用数据库编码特性绕过,下面是一些这方面的知识点:

Mysql字段的字符集和php mysqli客户端设置的字符集不相同

set names utf8 的意思是将客户端的字符集设置为utf8。我们打开mysql控制台,依次执行

SHOW VARIABLES LIKE 'character_set_%';set names utf8;SHOW VARIABLES LIKE 'character_set_%';,即可得到如下结果:

如上图,在默认情况下,mysql字符集为latin1,而执行了set names utf8;以后,character_set_clientcharacter_set_connectioncharacter_set_results等与客户端相关的配置字符集都变成了utf8,但character_set_databasecharacter_set_server等服务端相关的字符集还是latin1。(一般mysql下载下来就是第一次查询的样子,但是如果用到PHP study可能就会改掉一些字符集就变成第二次查询的样子了)

这就是该Trick的核心,因为这一条语句,导致客户端、服务端的字符集出现了差别。既然有差别,Mysql在执行查询的时候,就涉及到字符集的转换。

  1. MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection;

  2. 进行内部操作前将请求数据从character_set_connection转换为内部操作字符集

在我们这个案例中,character_set_client和character_set_connection被设置成了utf8,而内部操作字符集其实也就是username字段的字符集还是默认的latin1。于是,整个操作就有如下字符串转换过程:

utf8 --> utf8 --> latin1

最后执行比较username='admin'的时候,'admin'是一个latin1字符串

utf-8---->utf-8---->gbk

0x03 漏洞成因

那么,字符集转换为什么会导致%c2被忽略呢?

个人分析原因应该是,Mysql在转换字符集的时候,将不完整的字符给忽略了。

举个简单的例子,佬这个汉字的UTF-8编码是\xE4\xBD\xAC,我们可以依次尝试访问下面三个URL: b'\xe4\xbd\xac'

http://127.0.0.1/mysql_1.php?username=admin%e4
http://127.0.0.1/mysql_1.php?username=admin%e4%bd
http://127.0.0.1/mysql_1.php?username=admin%e4%bd%ac

可以发现,前两者都能成功获取到username=admin的结果,而最后一个URL,也就是当我输入佬字完整的编码时,将会被抛出一个错误:

为什么会抛出错误?原因很简单,因为latin1并不支持汉字,所以utf8汉字转换成latin1时就抛出了错误。

那前两次为什么没有抛出错误?因为前两次输入的编码并不完整,Mysql在进行编码转换时,就将其忽略了。

这个特点也导致,我们查询username=admin%e4时,%e4被省略,最后查出了username=admin的结果。

0x04 为什么只有部分字符可以使用

测试这个Trick的时候发现,username=admin%c2时可以正确得到结果,但username=admin%c1就不行,这是为什么?

简单fuzz了一下,如果在admin后面加上一个字符,有如下结果:

\x00~\x7F: 返回空白结果 \x80~\xC1: 返回错误Illegal mix of collations \xC2~\xEF: 返回admin的结果 \xF0~\xFF: 返回错误Illegal mix of collations 这就涉及到Mysql编码相关的知识了,先看看维基百科吧。

UTF-8编码是变长编码,可能有1~4个字节表示:

一字节时范围是[00-7F] 两字节时范围是C0-DF 三字节时范围是E0-EF[80-BF] 四字节时范围是F0-F780-BF 然后根据RFC 3629规范,又有一些字节值是不允许出现在UTF-8编码中的:

avatar

所以最终,UTF-8第一字节的取值范围是:00-7F、C2-F4,这也是我在admin后面加上80-C1、F5-FF等字符时会抛出错误的原因。

关于所有的UTF-8字符,你可以在这个表中一一看到: http://utf8-chartable.de/unicode-utf8-table.pl

0x05 Mysql UTF8 特性

那么,为什么username=admin%F0也不行呢?F0是在C2-F4的范围中呀?

这又涉及到Mysql中另一个特性:Mysql的utf8其实是阉割版utf-8编码,Mysql中的utf8字符集最长只支持三个字节,

所以,我们回看前文列出的UTF-8编码第一字节的范围,

三字节时范围是E0-EF[80-BF] 四字节时范围是F0-F780-BF

F0-F4是四字节才有的,所以我传入username=admin%F0也将抛出错误。

如果你需要Mysql支持四字节的utf-8,可以使用utf8mb4编码。我将原始代码中的set names改成set names utf8mb4,再看看效果:

整不会了
关注
数据库语法整理及WAF绕过方式
RuoLi_s的博客
09-30 2407
关系型数据库 关系型数据库:指采用了关系模型来组织数据的数据库。 直白的说就是:关系型数据库最典型的数据结构是表,由二维表及其之间的联系所组成的一个数据组织 当今主流的关系型数据库有:Oracle,Microsoft SQL Server,MySQL,PostgreSQL,DB2, Microsoft Access, SQLite,MariaDB Oracle Oracle特性: select id,contents,time from news where news_id=1 ① union ② sele
MSSQL注入绕过
聚鼎安全
12-24 1578
目录:绕过特性前言测试常见函数绕WAF\-WTS绕安全狗简介简单的爆错bypass简单的联合bypass盲注与储存过程其他绕过语句:绕D盾 绕过特性 前言 我们经常利用一些数据库特性来进行WAF绕过。 在MSSQL中,比如可以这样: 浮点数形式:id=1.1union select 科学计数法形式:id=1e0union select 但其实还可以这样子:id=1.eunion select 通过1.e这样的形式,可以用它绕过D盾的SQL注入防护,通过简单的Fuzz,我们来一起探索一下MSs
生命在于学习——SQL注入绕过
易水哲的博客
08-17 1万+
SQL注入绕过技术已经是一个老生常淡的内容了
那些可以绕过WAF的各种特性
热门推荐
03-23 2万+
我们一般将安全防护软件划分为:云WAF、硬件waf、主机防护软件、软件waf等。在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层...
mysql 16进制 绕过_sql注入绕过
weixin_39783633的博客
02-01 901
1.空格过滤绕过可用/**/制表符(url编码为%09)换行符(%0a)括号反引号 代替空格mysql数据库有一个特性。在条件语句中,在 where id =1 后面加上 “=1”,成为where id =1 =1 ,就是对前面所有结果&1,查询的结果与原来一样。where id =1 =0 就是对于前面所有结果&0 ,查询的结果为除去原有查询结果的其他数据,输出的是除去1以外的...
Sql server注入之注入绕过
qq_42990434的博客
12-17 4210
本章目录:绕过特性前言测试常见函数绕WAF\-WTS绕安全狗简介简单的爆错bypass简单的联合bypass盲注与储存过程其他绕过语句:绕D盾 绕过特性 前言 我们经常利用一些数据库特性来进行WAF绕过。 在MSSQL中,比如可以这样: 浮点数形式:id=1.1union select 科学计数法形式:id=1e0union select 但其实还可以这样子:id=1.eunion select 通过1.e这样的形式,可以用它绕过D盾的SQL注入防护,通过简单的Fuzz,我们来一起探索一下M
SQL注入绕过
qq_45557130的博客
10-10 1951
sql注入绕过
浅谈WAF绕过技巧
lza20001103的博客
09-05 861
渗透测试--浅谈WAF绕过技巧
WAF绕过的各种姿势
浅笑996的博客
10-23 2548
主要思路: 根据WAF部署位置,针对WAF、WEB服务器、WEB应用对协议解析、字符解析、文件名解析、编码解析以及SQL语法解析的差异,绕过WAF,将payload送至服务器执行。 常用绕过方法: 1.转换特征字符大小写 2.利用注释绕过 3.编码特征字符绕过 4.分隔重写特征字符绕过 5.利用截断字符绕过 6.变换变量位置绕过 7.针对域名保护的绕过 8.超大数据包绕过 9.转换数据提交方式绕过...
那些年我们绕过的WAF
05-07
- **Unicode编码**:与URL编码类似,通过Unicode编码也能隐藏特殊字符,比如将字符'e'编码为'%u0065',以尝试绕过WAF的检查。 2. **利用WAF的不完整规则**: - 对于Disucz X内置的_do_query_safe()函数,攻击者...
WAF Bypass数据库特性(Oracle探索篇).pdf
04-22
在信息安全领域,尤其是渗透测试和红蓝对抗等实战场景中,利用特定数据库特性进行Web应用防火墙(WAF)的绕过是一种非常实用且有效的技术手段。本篇文章将深入探讨如何利用Oracle数据库的独特特性来实现这一目标。...
MySQL数据库的详细学习步骤
2401_87352036的博客
10-11 1281
MySQL数据库的详细学习步骤可以归纳为以下几个阶段,每个阶段都包含了特定的学习内容和目标。
基于SSM班级事务管理系统的设计
2401_87849773的博客
10-15 377
管理员账户功能包括:系统首页,个人中心,学生管理,班委管理,班会组织管理,健康档案管理,党员发展管理,党员培训管理,学生成绩管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。班委账号功能包括:系统首页,学生管理,学生成绩管理,活动信息管理,班费通知管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发系统:Windows。
MySQL查询优化:提升数据库性能
最新发布
apple_64847327的博客
10-17 569
MySQL查询优化是一个涉及多个层面的复杂过程,需要我们从索引设计、查询语句编写、数据类型选择、服务器配置等多个角度进行综合考虑。通过不断学习和实践,我们可以逐渐掌握这门艺术,从而提升我们的数据库性能,为用户提供更快更好的服务。优化是一个持续的过程,随着数据量的增长和查询模式的变化,我们需要不断地回顾和调整我们的优化策略。
mysql锁之乐观锁、悲观锁、表锁、行锁、共享锁、排他锁
qq_68883928的博客
10-14 636
锁是计算机协调多个进程或线程并发访问某一个资源的机制,在数据库中,除传统的计算资源(CPU、RAM、I/O)的争用以外,数据也是一种供许多用户共享的资源。如何保证数据并发访问的一致性、有效性是所在有数据库必须解决的一个问题,锁冲突也是影响数据库并发访问性能的一个重要因素。从这个角度来说,锁对数据库而言显得尤其重要,也更加复杂。
PostgreSQL学习笔记十:锁机制详解
软件行业技术文化交流。
10-11 1304
它通过不同级别的锁来控制对数据对象的并发访问,主要包括表级锁、行级锁、页级锁、咨询锁(Advisory Locks)以及死锁(Deadlocks)。咨询锁可以用于实现更细粒度的锁控制,例如,在不同的事务之间同步对特定资源的访问。咨询锁可以是会话级别的或事务级别的,允许用户在不同的进程或事务之间进行协调。:设计事务时,应尽量减少锁的持有时间,并避免长时间运行的事务,因为这会增加死锁的风险。这些锁可以是行级的、事务级的,或者是咨询锁(advisory locks),它们用于控制对表或行的并发访问。
SQLite数据库在Android中的应用及操作方式
Good_tea_h的博客
10-14 745
SQLite数据库在Android中的应用非常广泛,它作为一个轻量级的关系型数据库,以其高效、可靠和易于使用的特点,成为了Android平台上存储和管理数据的首选方案。以下是对SQLite数据库在Android中的应用及操作方式的详细介绍。
数据库-01MYSQL-001MySQL知识点查漏补缺
10-12 281
mysql数据库知识点锦集
实用宝典:元器件外贸独立站电子元件数据库设置完全手册
dhs_abin的博客
10-14 1005
您是否在为元器件外贸独立站如何部署电子元件数据库而烦恼?芯站点提供了一份详尽的指南,帮助您了解从规划到实施的全过程,以构建高效且用户友好的电子元器件数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值