宽字节（宽字符）注入

了解了很多的web后端验证的问题，特别是与数据库交汇的这部分我觉得有很大一部分吧，是需要长期的积累，

知识的学习本来是就是互相推翻之前学习的成果，然后建立新的思想，巩固自己的思维发展

字节注入也是在最近的项目中发现的问题，大家都知道%df’ 被PHP转义（开启GPC、用addslashes函数，或者icov等），单引号被加上反斜杠\，变成了 %df\’，其中\的十六进制是 %5C ，那么现在 %df\’ =%df%5c%27，如果程序的默认字符集是GBK等宽字节字符集，则MYSQL用GBK的编码时，会认为 %df%5c 是一个宽字符，也就是縗’，也就是说：%df\’ = %df%5c%27=縗’，有了单引号就好注入了。比如：

$conn = mysql_connect(”localhost”,”root”,”2sdfxedd”); 
mysql_query(”SET NAMES ‘GBK’”); 
mysql_select_db(”test”,$conn); 
$user = mysql_escape_string($_GET['user']); 
$pass = mysql_escape_string($_GET['pass']); 
$sql = “select * from cms_user where username = ‘$user’ and password=’$pass’”; 
$result = mysql_query($sql,$conn); 
while ($row = mysql_fetch_array($result, MYSQL_ASSOC)) { $rows[] = $row; } ?> 

则通过以下注入即可：

http://www.xxx.com/login.php?user=%df’%20or%201=1%20limit%201,1%23&pass=

对应的SQL是：

select * fromcms_user where username = ‘運’ or 1=1 limit 1,1#’ and password=”

解决方法：就是在初始化连接和字符集之后，使用SETcharacter_set_client=binary来设定客户端的字符集是二进制的。如：

mysql_query(”SET character_set_client=binary”); 

 

################

以前对宽字节还是停留在GET上，得益于toby57牛的某篇文章，深入了一下

GPC打开了

提交：誠');phpinfo();//

转换：誠\');phpinfo();/

<?php
$config=array('誠\');phpinfo();//');
?>

php开始处理：D5 5C 5C 27... ，先处理转义，\ 没有了特殊作用，变成了 D5 \ ' ...，开始执行：誠'...，单引号引入，phpinfo执行。

运气好的话写shell？POST提交注入？

SET

character_set_connection=$dbcharset,character_set_results=$dbcharset, character_set_client=binary

 

接着上一步的