宽字节注入原理分析

最新推荐文章于 2024-06-25 18:15:00 发布
最新推荐文章于 2024-06-25 18:15:00 发布
阅读量1.2w 收藏 55
点赞数 13
分类专栏: CTF储备知识 文章标签: 宽字节注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/106387973
版权

什么是宽字节?

如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节

  • 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节
  • 英文默认占一个字节,中文占两个字节

什么是宽字节注入?

原理:宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候,当设置“character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围)

GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),例如%df和%5C会结合;GB2312是被GBK兼容的,它的高位范围是0xA1-0xF7,低位范围是0xA1-0xFE(0x5C不在该范围内),因此不能使用编码吃掉%5c

常见转义函数与配置:addslashes、mysql_real_escape_string、mysql_escape_string、php.ini中magic_quote_gpc的配置

Mysql相关知识

Mysql中有个连接层,何为连接层?
在MYSQL中,有一个中间层的结构,负责客户端和服务器之间的连接,称为连接层
交互的过程如下:
(1)客户端(这里指php)以某种字符集生成的SQL语句发送至服务器端(这里指Mysql),这个“某种字符集”其实是任意规定的,PHP作为客户端连接MYSQL时,这个字符集就是PHP文件默认的编码。
(2)服务器(Mysql)会将这个SQL语句转为连接层的字符集。问题在于MYSQL是怎么知道我们传过来的这个SQL语句是什么编码呢?这时主要依靠两个MYSQL的内部变量来表示,一个是character_set_client(客户端的字符集)和character_set_connection(连接层的字符集)。
(3)总的来说,就是php把sql语句传给mysql时,要转换character_set_connection字符集的编码,执行流程就是:将php的sql语句以character_set_client编码(也就是转为16进制数),再将16进制数以character_set_connection进行编码(也就是转换为url编码),然后以内部操作字符集进行url解码,最后以character_set_results编码输出结果
内部操作字符集怎么确定?进行内部操作前将请求数据从character_set_connection转换为内部操作字符集,其确定方法如下:
• 使用每个数据字段的CHARACTER SET设定值;
• 若上述值不存在,则使用对应数据表的DEFAULT CHARACTER SET设定值(MySQL扩展,非SQL标准);
• 若上述值不存在,则使用对应数据库的DEFAULT CHARACTER SET设定值;
• 若上述值不存在,则使用character_set_server设定值。

可以理解的同时参考下面这幅图片
在这里插入图片描述
注:

  • 查看Mysql字符集
    show variables like '%char%';
    在这里插入图片描述
  • 修改字符集
    set names 'gbk';相当于下面的三句命令
    mysql> set character_set_client = gbk;
    mysql> set character_set_results = gbk;
    mysql> set character_set_connection = gbk;

实例

以sqli-labs的第32关为例
(1)输入’,被\转义
在这里插入图片描述
(2)输入%df
在这里插入图片描述
(3)分析执行过程

① id=%df%27,浏览器执行时会自动url解码一次,断点你就会发现
在这里插入图片描述
注:其实那个乱码的是希腊字母β

② 此时KaTeX parse error: Can't use function '\'' in math mode at position 39: …rs WHERE id='1�\̲'̲' LIMIT 0,1"`,接…sql转为16进制
(2)将16进制数转为url编码
(3)这里以GBK(内部操作字符集)进行url解码,执行sql语句
(4)以character_set_results编码输出结果
关键参数简单示意图:
%df%27 浏览器url自动解码===> β\' 转为16进制===> 0xdf0x5c0x27 转换为url编码===> %df%5c%27 进行url解码(因为是GBK编码,%df和%5c结合为汉字)===> 運'

注:%后面跟16进制数,就表示url编码

注:在以GBK为编码的mysql中
%df和%5c才可以结合为汉字,%df和\是无法结合的
例1:可结合
注:#注释后面的' LIMIT 0,1
在这里插入图片描述
例2:不可结合
在这里插入图片描述
\将'转义,使其失去了原本单引号的意义,只是一个没有灵魂的肉体(不能和左边的单引号闭合),因此id后面的第一个单引号就和最后一个单引号闭合了,也使得#注释符也失去了作用,因为''里的内容被视为了字符串。

参考

https://blog.csdn.net/u011721501/article/details/42874517
https://blog.csdn.net/william_munch/article/details/100037244
https://www.lstazl.com/666-2/

注:
URL编码的解码(GBK)
查看字符编码(简体中文)-----GBK内码查询

1stPeak
关注
  • 13
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
SQL注入——宽字节注入
weixin_74991270的博客
10-10 469
1.转义符“\”有些符号想让他当作单纯的字符,而不是当作符号的时候,一般可以用: \符号比如:\’ \\’   这种情况下,‘和"将被当作正常的字符在数据库之中’与"几乎没有区别,在php之中 ’ 包括的内容完全当作字符串,而 " 包括的内容会进一步进行解析例如:$a=‘hello’;echo ‘$a’;//输出:aecho “$a”;//输出:hello2.为什么产生编码:--为了处理英文字符,产生了ASCII码。
宽字节注入
rane的博客
03-18 283
宽字节注入原理 宽字节注入方法 以第32关为例,输入单引号后会经过check_addslashes函数替换 数据库连接的时候使用的是gbk编码 http://127.0.0.1/Less-32/?id=1%df’ order by 3–+ 三列 http://127.0.0.1/Less-32/?id=-1%df’ union select 1,2,version()–+ 使用union查询需...
浅析常见WEB安全漏洞及其防御措施_web漏洞防护
最新发布
Z4400840的博客
06-25 895
在网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再以此为跳板实施内网横向渗透。由于Web系统通常涉及大量的用户数据和敏感信息,一旦受到攻击或破坏,可能造成数据泄露、服务中断等影响。相较于攻击方,Web系统也是防守方的重点防护对象。作为安全开发或安全运营人员,及早发现和修复潜在的WEB安全漏洞,不仅有助于提高互联网业务系统的稳定性,也能降低后期安全运营工作的压力和成本。【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线。
宽字节注入原理
qq_45730325的博客
03-03 5703
宽字节注入原理
​SQL注入:order by注入
qq_68163788的博客
01-30 2044
Order by注入是一种SQL注入攻击的类型,它利用了在SQL查询中使用order by子句来对结果进行排序的漏洞。在正常情况下,order by子句会根据指定的列对结果进行排序,但是如果应用程序没有对用户提供的输入进行正确的验证和过滤,攻击者就可以利用这个漏洞来执行恶意的SQL查询。 通过在order by子句中插入恶意的SQL代码,攻击者可以获取敏感数据、修改数据库内容或者执行其他恶意操作。例如,攻击者可以利用order by注入来发现数据库中的表名、列名或者获取敏感数据。
【SQL注入】宽字节注入原理、利用
07-14 1824
【SQL-宽字节注入
SQL注入之ORDER BY注入
m0_74834253的博客
02-22 2215
使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。需要注意的是这样注入的效率很低,还是应该先考虑其他的注入方式最后在采用时间盲注。order by还支持多个字段自定义排序,通过逗号隔开,但只能在数字之间进行自定义排序,若选择字符类型则会根据第一个列名的排序规则进行排序。为true或者false时,排序结果是不同的,但因为序列相同所以就可以使用rand()函数进行盲注了。
sql注入之order by注入
qq_45627785的博客
08-05 4718
Jan 1, 0001 00:00 · 427 words · 3 minute readCTF 了解order by order by盲注 结合union来盲注 基于if()盲注 需要知道列名 不需要知道列名 基于时间的盲注 基于rang()的盲注 order by 报错注入 updatexml extractvalue 在安恒杯看到了利用order by进行盲注,记得自己之前好像总结过order by后的注入方法,翻..
mysql order by注入_sql注入之order by注入
weixin_28882177的博客
01-19 4799
0x00 前言夜里看了一篇文章,突然有了启发,赶紧记录一下。了解order by参考:order by是mysql中对查询数据进行排序的方法, 使用示例select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序这里的重点在于order by后既可以填列名或者是一个数字。举个例子:...
SQL注入进阶-order by注入
AkangBoy的博客
11-06 8709
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入、order by if()注入、order by sleep()注入、order by报错注入。
sql宽字节注入原理
qq_40390383的博客
08-02 907
宽字符是指多个字节宽度的编码,如UNICODE、GBK、BIG5等。转义函数在对这些编码进行转义时会丢掉转义字符“\”(将它转换为%5C),你可以在它前面再输入一个单字符编码与它组成一个新的多字符编码,使得转义实际上没有发生作用(转义就是要留下“\”防范注入的)。 举个例子: 输入……php?name=a%df’ or 1=1;%20%23 转义函数会将%df’改成%df\’,如果你的编码是...
mysql 南邮ctf_宽字节注入和防御(示例代码)
weixin_42282482的博客
02-07 312
0、前言最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。1、概述主要是由于使用了宽字节编码造成的。什么是字符集?计算机显示的字符图形与保存该字符时的二进制...
(手工)【sqli-labs40、41】堆叠注入、盲注
07-15 1616
【SQL-堆叠、盲注】
宽字节注入详解
xyx107的博客
08-11 5180
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要...
SQL注入基础---order by \ limit \ 宽字节注入
qq_52016943的博客
08-09 1007
order by 、limit 、宽字节注入
SQL注入宽字节注入原理
03-11
SQL注入是一种常见的网络攻击方式,攻击者通过在输入框中输入恶意代码,从而绕过应用程序的身份验证和授权机制,进而获取敏感信息或者控制数据库。而宽字节注入是一种特殊的SQL注入方式,它利用了中文编码的特殊性质,将恶意代码转换为宽字节编码,从而绕过应用程序的过滤机制,成功地执行恶意代码。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值