mysql注入-字符编码技巧

已于 2024-08-12 21:07:30 修改
阅读量648 收藏 13
点赞数 16
文章标签: mysql 数据库
于 2024-08-11 23:14:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64352136/article/details/141109690
版权

一、环境搭建

创建数据表

CREATE TABLE `mysql_Bian_Man` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(255) COLLATE latin1_general_ci NOT NULL,
  `password` varchar(255) COLLATE latin1_general_ci NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=latin1 COLLATE=latin1_general_ci;

ENGINE=MyISAM:表示数据库表的存储引擎为MyISAM。MyISAM是MySQL的一种存储引擎,它提供了全文索引、压缩等特性,但不支持事务和行级锁定。

AUTO_INCREMENT=1:表示表中的主键(通常是名为id的字段)的自增长起始值为1。当插入新记录时,如果没有指定主键的值,MySQL会自动为该字段分配一个递增的值。

DEFAULT CHARSET=latin1:表示表的默认字符集为latin1。这意味着在创建表时,如果没有明确指定某个字段的字符集,那么该字段将使用latin1字符集。这一条很重要,漏洞形成就是因为这一条

COLLATE=latin1_general_ci:表示表的默认排序规则为latin1_general_ci。排序规则决定了字符数据的比较和排序方式。在这个例子中,使用的是不区分大小写的通用排序规则。

插入数据

INSERT `mysql_Bian_Man` VALUES (1, 'admin', 'admin');

前端代码环境

<?php
$mysqli = new mysqli("localhost", "root", "root", "mysql_zhu_ru");

/* check connection */
if ($mysqli->connect_errno) {
    printf("Connect failed: %s\n", $mysqli->connect_error);
    exit();
}

$mysqli->query("set names utf8");
//`set names utf8` 的意思是将客户端的字符集设置为utf8
$username = addslashes($_GET['username']); //接受get传参 


//if判断
if ($username === 'admin') {
    die('Permission denied!');
}

/* Select queries return a resultset */
$sql = "SELECT * FROM `mysql_Bian_Man` WHERE username='{$username}'";
if ($result = $mysqli->query( $sql )) {
    printf("Select returned %d rows.\n", $result->num_rows);

    while ($row = $result->fetch_array(MYSQLI_ASSOC))
    {
        
        var_dump($row);
        //printf('flag{1122312}');
        //这里本来是flag的位置,但这里改动了一下
    }

    /* free result set */
    $result->close();
} else {
    var_dump($mysqli->error);
}

$mysqli->close();

检验

二、绕过

绕过查询

127.0.0.1/mysql_BianMan/web.php?username=admin%c2

在上图中我们可以看到,用username=admin%c2,把admin的密码查询出来了,先前测试时,用username=admin,返回了一句话。为什么会这样呢?

三、漏洞原理——Mysql字符集转换

造成这个漏洞的根本原因是,Mysql字段的字符集和php mysql客户端设置的字符集不相同

我们看mysql每个阶段所用到的字符集

这个是我数据库的每阶段字符集

character_set_server:默认的内部操作字符集
character_set_client:客户端来源数据使用的字符集
character_set_connection:连接层字符集
character_set_results:查询结果字符集
character_set_database:当前选中数据库的默认字符集
character_set_system:系统元数据(字段名等)字符集

从上面看出我的字符集基本上都是utf-8字符集,编码转换都是一样的,为什么会说漏洞出现在MySQL字符集转换呢?

不知道大家有没有注意到,前面建表所指定的字符集了吗?没错问题就出现在那

mysql> SELECT DISTINCT CHARACTER_SET_NAME FROM information_schema.COLUMNS WHERE TABLE_SCHEMA = 'mysql_zhu_ru';

mysql> show table status from mysql_zhu_ru\G

那么,字符集转换为什么会导致%c2被忽略呢?

有大佬分析原因应该是,Mysql在转换字符集的时候,将不完整的字符给忽略了。

看一下字符集转换过程

  1. MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection;
  2. 进行内部操作前将请求数据从character_set_connection转换为内部操作字符集

在这个案例中,character_set_clientcharacter_set_connection被设置成了utf8,而内部操作字符集其实也就是username字段的字符集(或者说是数据表)还是的字符集是latin1。于是,整个操作就有如下字符串转换过程:

utf8 --> utf8 --> latin1

最后执行比较username='admin'的时候,'admin'是一个latin1字符串。

举个简单的例子,佬这个汉字的UTF-8编码是\xE4\xBD\xAC,我们可以依次尝试访问下面三个URL: b'\xe4\xbd\xac'

http://127.0.0.1/mysql_1.php?username=admin%e4
http://127.0.0.1/mysql_1.php?username=admin%e4%bd
http://127.0.0.1/mysql_1.php?username=admin%e4%bd%ac  

'0b111001001011110110101100'

看到佬字utf-8是三字节

可以发现,前两者都能成功获取到username=admin的结果,而最后一个URL,也就是当我输入佬字完整的编码时,将会被抛出一个错误:

为什么会抛出错误?原因很简单,因为latin1并不支持汉字,所以utf8汉字转换成latin1时就抛出了错误。

那前两次为什么没有抛出错误?因为前两次输入的编码并不完整,Mysql在进行编码转换时,就将其忽略了。

这个特点也导致,我们查询username=admin%c2时,%c2被省略,最后查出了username=admin的结果。

四、Mysql UTF8 特性

那么,为什么username=admin%F0也不行呢?F0是在C2-F4的范围中呀?

这又涉及到Mysql中另一个特性:Mysql的utf8其实是阉割版utf-8编码,Mysql中的utf8字符集最长只支持三个字节,所以,我们UTF-8编码的范围,

UTF-8编码的每字节的范围如下:

  • 对于1字节长的字符,字节的首位为0,后7位表示字符的Unicode码点。因此,1字节长的字符的范围是0x00到0x7F。
  • 对于2字节长的字符,第一个字节的格式为110xxxxx,第二个字节的格式为10xxxxxx。因此,2字节长的字符的范围是0xC0到0xDF
  • 对于3字节长的字符,第一个字节的格式为1110xxxx,后面两个字节的格式为10xxxxxx。因此,3字节长的字符的范围是0xE0到0xEF
  • 对于4字节长的字符,第一个字节的格式为11110xxx,后面三个字节的格式为10xxxxxx。因此,4字节长的字符的范围是0xF0到0xF7

然后根据RFC 3629规范,又有一些字节值是不允许出现在UTF-8编码中的:

F0-F4是四字节才有的,所以我传入username=admin%F0也将抛出错误。

如果你需要Mysql支持四字节的utf-8,可以使用utf8mb4编码。我将原始代码中的set names改成set names utf8mb4,

五、验证测试

用上面的建表语句表创建另一个字符集为utf-8的的表,用于验证漏洞猜想

Create Table: CREATE TABLE `mysql_bian_man1` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 DEFAULT NULL,
  `password` varchar(255) CHARACTER SET latin1 COLLATE latin1_general_ci NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci

漏洞查看

我们可以看到,被绕过了,why?问题出在了字段的字符集的编码上

show full columns from mysql_bian_man1\G

我们修改齐字符集编码

alter table mysql_bian_man1 modify username varchar(255) character set utf8;

去测试结果

可以看到,结果输出正确结果了

树上一太阳
关注
  • 16
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL注入--Payload
m0_37595954的博客
10-25 1136
MySQL注入--Payload Mirror王宇阳 2019-10-22 SQL的注入流程一般如下: 1、判断是否有SQL注入漏洞(判断注入点) 2、判断 数据库的系统架构、数据库名、web应用类型等 3、获取数据库信息 4、加密信息破解 5、进行提权 前篇 注入漏洞分类: 数字型注入: 当输入(注入)的参数为整数,则可以认为该漏洞注入点为数字型注入; htt...
MySQL注入绕开过滤的技巧总结
12-16
综上所述,了解和掌握这些绕过过滤的技巧对于防止和应对MySQL注入攻击至关重要。同时,开发者应始终重视代码的安全性,采取有效的防御措施,以减少潜在的风险。在实际应用中,结合多种防御手段,并不断更新安全知识...
MYSQL--Dns注入
qq_68233961的博客
08-07 1084
MYSQL--Dns注入
sql注入(2) 墨者学院之SQL手工注入漏洞测试(MySQL数据库-字符型)
c10udz的博客
04-12 4150
这里我们可以看到版本是10.2.15,前面说过MySQL5.0版本以上有个自带的information_shema数据库,利用这个数据库可以查到整个数据库的结构,不然就只能盲猜了。//注释:(1)information_schema.tables表示information_schena这个数据库下的表,在MySQL中【.】代表下一级。利用'order by 任意数字 %23去判断,得到4(结尾加%23的原因:在一个语句结尾时,需要用#结尾,而#的url编码就是%23)table_schema:数据库名。
MYSQL注入-宽字节注入
告白的博客
08-02 437
0x00 宽字节注入简介 什么是宽字节: GB2312、GBK、GB18030、BIG5、Shift_JIS这些编码类型都是属于宽字节,当我们输入的单个字符被转换成ACSII码,当两个ACSII码组合起来会被宽字节再次编码为特殊文字等类型,即绕过了检验。宽字节注入mysql特有的一种诸注入类型 0x01 宽字节注入案例-SQLI-less-32 尝试判断闭合,发现输入的参数都被转换为ACSII码, 发现单引号被转换为通过查询ACSII码 单引号转换 /’ 而/‘换成 5c27 查询到
MySQL编码转换防止SQL注入_node-mysql中防止SQL注入
weixin_39915367的博客
01-19 801
为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种:方法一:使用escape()对传入参数进行编码:参数编码方法有如下三个:mysql.escape(param)connection.escape(param)pool.escape(param)例如:var userId = 1, name = 'test';...
判断注入类型-字符注入
游魂的博客
12-06 2059
字符注入 当输入的参数为字符串是,并且存在注入,可称为字符注入字符型和数值型的区别在于数值不需要单引号闭合,而字符型都需要单引号闭合。 例如: 数值型: select * from news where id=1; 则这字符型: select * from news where title='abcd'; 以上可以看出,在构造payload的时候必须通过闭合单引号后,让sql语句从单引号...
sql注入-02mysql注入
weixin_44576725的博客
11-07 1204
mysql注入 1、用户权限查询数据库分类 root用户:最高权限用户,可以查看所有数据库,可跨库查询、注入 普通用户:仅可查询当前自己所属的数据库 2、跨库注入 利用information_schema表特性,记录库名、表名、列名对应表,常常结合where table_name = ‘表名’ and table_schema = ‘数据库名’、from mysql.admin类似这样的限制条件。 3、文件读写操作 3.1函数(mysql独有) load_file():读取函数 mysql> se
SQL注入MYSQL注入总结-20240517更新mysql可报错注入函数
qq_39764475的博客
08-12 2134
简介 information_schema是用于存储数据库元数据的表,它保存了数据库名,表名,列名等信息。 让我们从爆破表名到了可以直接查询。 information_schema是MySQL5.0以上数据库独有,MYSQL4.X的没有,只能进行对库名、表名、列名暴力破解。 基本使用 基本语法 1.建立数据库 mysql> create database mysqltest; Query OK, 1 row affected (0.00 sec) 2.查询所有数据库 mysql> show d
mysql 注入语句_MYSQL注入语句
weixin_33007509的博客
01-18 1171
一、信息查询 information_schema是MySQL 5.0后产生的虚拟数据库,提供访问数据库元数据的方式,即数据的数据。比如数据库所有库名或表名,列类型,访问权限。MYsql 5.X以上版本的注入查询主要基于information_schem1.UNION 注入 (联合查询注入) ≥ MySQL 5 information_schema (信息数据库),其中保存着关于 My...
2021-07-08 CTFer成长之路-SQL注入-字符替换
热门推荐
时光隧道
07-08 5万+
一:字符替换 1.只过滤了空格 除了空格,在代码中可以代替的空白符还有%0a、%0b、%0c、%0d、%09、%a0(均为URL编码,%a0在特定字符集才能利用)和/**/组合、括号等。假设PHP源码如下: $id = str_replace(" ","",$sql); 2.将SELECT替换成空 $id = str_replace("select","",$sql); 3.大小写匹配 在MySQL中,关键字是不区分大小写的,如果只匹配了"SELECT",便能用大小写混写的方式轻易绕过,如"sEleCT
10-sql注入-mysql注入1
08-03
2. **MySQL注入技巧**: - **路径符号**:在URL或表单提交中使用双斜杠(\\)或正斜杠(/)来构造SQL语句。 - **十六进制编码**:将特殊字符转换为十六进制,避免引号的使用,以绕过简单的过滤机制。 - **报错...
mysql-connector-java-5.1.38.rar
11-14
7. **配置选项**:MySQL Connector/J支持多种连接参数,如`useSSL`(是否使用SSL加密连接)、`characterEncoding`(字符编码)、`autoReconnect`(自动重连)等,以满足不同应用场景的需求。 8. **兼容性**:5.1.x...
mysql注入绕过技术
06-04
- **编码技巧**:使用十六进制编码或其他字符编码方法来表示关键字。 #### 函数过滤 除了关键词之外,一些常用的函数也会受到过滤处理。例如,`LOAD_FILE()`可能被用来读取服务器上的敏感文件,因此开发者可能会...
SpringBoot依赖之Quartz Scheduler定时调度器使用MySQL存储Job
ahauedu的专栏
08-07 637
接上一篇。本篇将在 Spring Boot 项目中,使用 Quartz Scheduler 结合 MySQL 数据库来存储 Job。
CVE-2012-2122 mysql/mariaDB身份认证漏洞
最新发布
weixin_68177269的博客
08-12 126
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,不断的尝试登录连接,回导致MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。影响范围#所有的Mariadb和mysql版本:5.1.61、5.0.11、5.3.5、5.5.22。可见经过大数量的暴力登录之后,直接不需要密码登录到mysql。使用docker-compose 创建靶场环境。下载安装vulhub靶场环境。二、msf漏洞scan探测。不知道为什么没跑出来🥴。
mysql 日志爆满,删除日志文件,定时清理日志
minihuabei的博客
08-08 1139
今天发现网站不能正常访问,于是登陆服务器查找问题。机智的我随手用命令:df -l 发现 硬盘爆满了,于是就知道问题所在了。然后通过命令 du -sh * 一路检查,发现mysql的日志文件占据了大部分空间 , 整整27G,于是现在的任务就是清理mysql的日志文件(主要是清理.log文件和mysql-bin.00000X二进制日志文件)
8.7-主从数据库的配置+mysql的增删改查
qq_70752758的博客
08-07 693
Slave_IO_Running和Slave_SQL_Running都是yes就表示主从数据库配置成功了。insert into 表名称 values(1,"name","word")先查看按照升序排列的qty,然后在这基础上在按照price的升序排列进行查看。当使用聚合查询以后,不能使用where,如果要使用,添加having。insert into 表名称 select * from 其他表。insert into 表 value () ,()创建可以远程登录的用户。查看升序排列的qty。
day23(mysql主从脚本与mysql详细语句介绍)
weixin_68368034的博客
08-08 967
只有 select ⼦句和 having ⼦句、order by ⼦句中能使⽤聚合函数,where ⼦句不能使⽤聚合函 数。当使⽤聚合查询以后,不能使⽤where条件,如果要添加条件,就使⽤having。常⽤聚合``函数统计表中数据的⾏数或者统计指定列不为空值的数据⾏个数select count(*或表头名) from 表名;计算指定列的最⼤值,如果指定列是字符串类型(⽂字类型)则使 ⽤字符⾸拼排序select max(表头名) from 表名;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值