0x1介绍
为了过滤用户输入的数据,常在后端通过addslashes()等函数对用户的输入特殊字符(引号、反斜杠、%00)转义防止我们注入。而这时候我们就可以通过宽字节绕过,宽字节是多个字节表示一个字符,关于字符编码可以看一下我的上一篇文章
0x2 数据编码变化
我们先看一下用户的输入的数据是怎么从客户端到数据库查询的:
- 浏览器先对用户的输入编码然后装载到http包里面然后发送给服务器端。
- 服务器端收到请求后依次执行后端代码,如果是php,这时候addslashes函数就会依次检查是否含有特殊字符,然后对其转义,最后发给mysql。
- mysql收到后先根据系统变量character_set_client进行解码,然后再根据系统变量character_set_connection编码,然后执行sql语句,最后再将结果转换为character_set_results。
我们可以通过
show variables like 'character%';
查看系统变量
set names gbk
就等同于
set character_set_client=gbk;
set character_set_connection=gbk;
set character_set_database=gbk;
这三条语句一起的效果。
0x3 注入原理
而宽字节注入就是当mysql使用GBK编码时会认为两个字节是一个汉字(前一个字符的ASCII要大于128,才到汉字区间),从而达到吃掉后面的转义符(),让引号逃逸出来。当我们输入%df%27时,先通过转义函数变成了%df%5c%27。而这时候mysql会把%df%5c看成一个汉字’運’,于是后面的单引号(’)导致报错。
大家如果想练习的话可以去sqllabs里面Less32-37试试。