Sql 注入详解:宽字节注入+二次Urlencode注入

最新推荐文章于 2024-02-19 03:28:23 发布
最新推荐文章于 2024-02-19 03:28:23 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36711453/article/details/83714363
版权

注:转载请注明出自:https://blog.csdn.net/qq_36711453/article/details/83714363

sql注入漏洞

原理:由于开发者在编写操作数据库代码时,直接将外部可控参数拼接到sql 语句中,没有经过任何过滤就直接放入到数据库引擎中执行了。

攻击方式:

(1) 权限较大时,直接写入webshell 或者直接执行系统命令

(2) 权限较小时,通过注入获得管理员密码信息,或者修改数据库内容进行钓鱼等

常出现的地方:

登录页面、获取HTTP头(user-agent、client-ip等)、订单处理等,HTTP头里面client-ip 和 x-forward-for 常出现漏洞,在涉及购物车的地方,常发生二次注入;

1、 普通注入

指未做任何处理的,直接通过注入union 查询就可以注入的漏洞。在普通注入测试时,通过查找关键字定向挖掘,数据库操作:select from 、mysql_connect 、mysql_query 、mysql_fetch_row 等,数据库查询方式:update、insert、delete等

2、 编码注入

程序在进行一些操作之前,经常会进行一些编码处理,而做编码的函数也是存在问题的,通过输入转码函数不兼容的特殊字符,可以导致输出的字符变成有害的数据。常见的编码注入有mysql 宽字节以及urldecode/rawurldecode 函数导致的。

(1) 宽字节注入

在进行php 连接mysql 时,当设置”ser character_set_client=gbk” 时会导致一个编码转换的注入问题,也就是熟悉的宽字节注入,当存在宽字节注入时,%df%27 可把程序中过滤的\ (%5c)吃掉。例如:/1.php?id=1存在宽字节注入时,则: /1.php?id=-1’and 1=1%23 单引号会被转义成 \’但是提交:/1.php?id=-1%df’and 1=1%23 时,%df和\ 反斜杠(%5c) 组合 %df%5c 编码后是一个汉字,这时候单引号依然存在,则会闭合成功,形成注入漏洞。

形成原因:由于设置Mysql 服务器客户端数据编码是GBK ,set character_set_client=gbk执行语句时进行GBK 转码时形成攻击,通常都设置方法是: SET NAMES ‘gbk’,等同于:

SET

character_set_connection=’gbk’,

character_set_results=’gbk’,

character_set_client=’gbk’

此编码设计也存在漏洞,建议使用官方给的mysql_set_charset方式来设置编码,在调用SET NAMES 之后还记录了当前的编码,留着给后边mysql_real_escape_string处理字符时使用,后边合理的使用mysql_real_escape_string还是可以防御此漏洞的。

防御方法:

①在执行查询之前先执行SET NAMES ‘gbk’,character_set_client=binary 设置character_set_client 为 binary

② 使用mysql_set_charset(‘gbk’) 设置编码,然后使用mysql_real_escape_string() 函数被参数过滤

③使用pdo方式,在Php 5.3.6及以下版本中需要设置setAttribute(PDO:ATTR_EMULATE_PREPARES,false); 来禁用preparcd statements 的仿真效果。

宽字节注入测试示例:

https://images2018.cnblogs.com/blog/1391871/201807/1391871-20180728235702578-1595948633.png

Gbk编码格式输入结果:

https://images2018.cnblogs.com/blog/1391871/201807/1391871-20180728235718003-1448078680.png

宽字节注入成功,%df\’被过滤后成为%dr\’,经过编码后成为%df%5c,即就是汉字“運”。因此,可以绕过,形成注入。

(2) 二次urldecode 注入

现在通常Web应用程序大多都会进行参数过滤,来防止注入。如果某处使用了urldecode或者 rawurldecode 函数,则会导致二次解码生成单引号二引发注入,即二次注入。

Web应用程序通常使用addslashes() 、mysql_real_escape_string()、mysql_escape_string()函数或者开启GPC来防止注入,也就是给单引号(‘’)、双引号(“”)、反斜杠(\)和NULL加上反斜杠转义。

二次注入测试代码:

https://images2018.cnblogs.com/blog/1391871/201807/1391871-20180728235736902-1861427825.png

执行结果:

https://images2018.cnblogs.com/blog/1391871/201807/1391871-20180728235746244-1218020835.png

原理:由于我们提交id参数到webserver时,webserver会自动解码一次,假设目标程序开启了GPC,我们提交参数id=1%2527 ,经过第一次解码后,%25解码结果为%,则参数为id=1%27,第二次程序使用了urldecode 或者 rawurldecode 函数来解码id参数,则解码后结果为id=1’ ,这时单引号成功出现引发注入。

3、 sql注入漏洞防范

这里提供三种防御方法:预编译方式、过滤函数和类、魔术引号。

(1)、预编译方式:在.NET语言中使用SqlParameter进行预编译方式处理数据库查询,在java中语言使用prepareStatement进行预编译处理数据库查询,在PHP中使用pdo 的prepare 进行预编译处理数据库查询;

(2)、过滤函数和类:两种共使用场景。一种是程序入口统一过滤,像框架程序这种方式比较多,另一种是在程序进行SQL语句运行之前使用。PHP常使用的函数有addslashes()、mysql_escape_string()、msyql_real_string()、intval()函数等;

(3)、魔术引号:通常数据污染的方式有两种:一种是应用被动接收参数,类似于GET、POST等;另一种是主动获取参数,类似与读取远程桌面页面或者文件内容等。在PHP中魔术引号配置方法,magic_quotes_gpc负责对GET、POST、COOKIE的值进行过滤,magic_quotes_runtime对数据库或者文件中获取的数据进行过滤。

注:本文属于作者自己原创,转载请注明出处,若有错误之处,还请指出,谢谢!

 

LxRo_UX
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHPCMS2008广告模板SQL注入漏洞修复
10-21
PHPCMS2008由于广告模块取referer不严,导致一处sql注入漏洞.这篇文章主要介绍了PHPCMS2008广告模板SQL注入漏洞的相关资料,需要的朋友可以参考下
SQL注入原理
qq_43036356的博客
05-23 1722
SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
mysql实现urlencode
weixin_42908843的博客
11-17 1861
mysql实现urlencode,function方式创建function使用function功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 创建function 撒旦法 asdfasdfa 使用function 我们对Markd
pikachu靶场 宽字节注入 SQL注入学习记录
最新发布
Nobody45678的博客
02-19 408
以下是摘抄的重点字符型的注入点我们都是用单引号来判断的,但是当遇到addslashes()时,单引号会被转义成 ’ ,导致我们用来判断注入点的单引号失效。所以我们的目的就是使转义符 \ 失效、使单引号逃逸。
sql注入的原理详解
牛不牛先生
01-11 8461
sql注入原理详解(一) 我们围绕以下几个方面来看这个问题: 1.什么是sql注入? 2.为什么要sql注入? 3.怎样sql注入? 1.什么是sql注入?   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL...
9.二次编码注入
kinght的博客
08-26 717
title: 9.二次编码注入 date: 2020-08-21 23:55:00 categories: 4.网络安全 1.Web安全 1.SQL注入 tags: 1.Web安全 2.SQL注入 二次编码注入宽字节注入有着异曲同工之妙,都是在面对PHP代码或者配置,对输入的‘(单引号)进行转义的时候,在处理用户输入的数据时存在问题,绕开了转义 二次编码注入原理 编码 为什么要进行编码 编码肯定是因为原始的格式并不适合传输才进行的,例如+,=,&,;等符号在http请求过程会与原有格式.
第六天二次注入sqlmap简单参数
代码审计
03-09 2670
二次注入 今天学习二次注入 二次注入原理 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其的特殊字符进行了转义处理,但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库,当Web程序调用存储在数据库的恶意数据并执行SQL查询时,就发生了SQL二次注入。 也就是说在应用程序输入恶意造的数据库查询语句时会被转义,但是在数据库内部调用读取语句的时候又被还原。 二次注入,可以概括为以下两步: 第一
PHP代码审计——PHP常见的敏感函数列表
qq_44029310的博客
10-03 2407
PHP常见的敏感函数列表。
SQL注入漏洞全接触——高级篇.txt
02-13
看完入门篇和进阶篇后,稍加练习,破解...5. 猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,但是如果能用SQLServer的报错信息把值暴露出来,那效率和准确率会有极大的提高
Python3urlencodeurldecode的用法详解
09-19
今天小编就为大家分享一篇Python3urlencodeurldecode的用法详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php urlencode()与urldecode()函数字符编码原理详解
10-28
文字符编码研究系列第五期,详解 urlencode()与urldecode()函数字符编码原理,两个函数分别用于编码 URL 字符串和解码已编码URL 字符串,实现对文字符的编码
SQL Server 2005实现 Server.UrlEncode、Server.UrlDecode
热门推荐
龙卷风(2007)
08-28 1万+
        前言:这个例子非常的简单,写这个例子的目的主要还是想让大家熟悉SQL 2005 CRL 函数的一个创建过程。在网页传递变量,一般先编码,然后解码即可。在.net  实现这个功能,非常简单直接调用(微软已经处理完成了),它的编码: String Message = Server.UrlEncode("欢迎学习ASP.NET!"); Response.Redirec
MySQL urlencode 函数、urldecode函数 、multiurldecode 函数
Zhi_Sheng的博客
01-24 8705
urlencode 函数 DELIMITER ; DROP FUNCTION IF EXISTS urlencode; DELIMITER | CREATE FUNCTION urlencode (s VARCHAR(4096)) RETURNS VARCHAR(4096) DETERMINISTIC CONTAINS SQL BEGIN DECLARE c VARC
高级PHP应用程序漏洞审核技术
王意林的专栏
10-27 7983
by: 80vul.com 目录  [隐藏] 1 前言2 传统的代码审计技术3 PHP版本与应用代码审计4 其他的因素与应用代码审计5 扩展我们的字典 5.1 变量本身的key5.2 变量覆盖 5.2.1 遍历初始化变量5.2.2 parse_str()变量覆盖漏洞5.2.3 import_request_variables()变量覆盖漏洞
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解
渗透、攻防、CTF、编程
07-04 4311
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
【CSRF技巧拓展】————5、浅谈Session机制及CSRF攻防
Fly_鹏程万里
01-23 1191
在讲解CSRF攻击原理及流程之前,我想先花点时间讲讲浏览器信息传递的Session机制。 Session机制 Session,文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式,也可以简单的理解为一个用户从打开浏览器开始,访问一个web网站,点击某些超链接,访问某些服务端的资源,然后关闭浏览器的这一整个过程就是一次会话。   早期,客户端与服务端之间的每次信息传递都是...
java+urlencode编码转换
01-27
2. 使用Apache Commons Codec库的`URLCodec`类进行编码,并设置`encode`方法的第二个参数为`"UTF-8"`,将"+"替换为"%20": ```java URLCodec codec = new URLCodec("UTF-8"); String encodedStr = codec.encode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值