SQL注入之宽字节注入

最新推荐文章于 2024-03-14 21:24:51 发布
最新推荐文章于 2024-03-14 21:24:51 发布
阅读量1.4k 收藏 5
点赞数 1
分类专栏: sql注入 文章标签: mysql 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/115626096
版权

沉舟侧畔千帆过,病树前头万木春。


什么是宽字节注入?

当后端对用户的输入做了转义时,比如利用addslashes()或mysql_escape_string()函数。此时输入id=1’其中的单引号会被转义而变成id=1\',这样就使得单引号无法闭合数据库中的语句,一般情况下是很难绕过的。但是有两种情况可以通过宽字节注入绕过。

第一中情况是当数据库的编码为GBK时,注入格式为id=1%df',因为反斜杠\的编码为%5c,所以参数传到后端经过转义后就会变成id=1%df%5c',其中GBK会将%df%5c编码成一个繁体字,这样反斜杠就失去了转义的效果,使得单引号逃逸出来闭合了语句。第二种情况是,若后端的代码中有转换字符编码的函数,道理其实一样,就是将用户输入的参数用宽字节去解释了,从而使单引号逃逸。


靶场练习

1、pikachu之宽字节注入
  • 测试流程

输入%df' or 1=1#直接遍历出数据库内容:

image-20210412150242557

order by测出主查询字段数:

order by 2回显正常order by 3出现报错
image-20210412150517318image-20210412150535969

说明主查询字段数为2,接下来直接union注入:

测出回显点为1,2

image-20210412150723586

查询数据库信息:

image-20210412151002167

如图所示,查询出数据库名为pikachu,用户为root,数据库版本为5.5.53。

查询表名:

image-20210412151234651

查询字段名:

image-20210412151452743

查询字段值:

image-20210412151909686

整个过程的关键点在于单引号前面的%df,造成宽字节注入使得单引号逃逸处理闭合语句,才有了后面的操作。

  • 源码分析

    核心代码:

    if(isset($_POST['submit']) && $_POST['name']!=null){

    $name = escape($link,$_POST['name']);
    $query="select id,email from member where username='$name'";//这里的变量是字符型,需要考虑闭合
    //设置mysql客户端来源编码是gbk,这个设置导致出现宽字节注入问题
    $set = "set character_set_client=gbk";
    execute($link,$set);

    //mysqi_query不打印错误描述
    $result=mysqli_query($link, $query);
    if(mysqli_num_rows($result) >= 1){   #返回结果集中行的数量
        while ($data=mysqli_fetch_assoc($result)){      #从结果集中取得一行作为关联数组   
            $id=$data['id'];
            $email=$data['email'];
            $html.="<p class='notice'>your uid:{$id} <br />your email is: {$email}</p>";
        }
    }else{
        $html.="<p class='notice'>您输入的username不存在,请重新输入!</p>";
    }
}

    如上述代码的第6,7行,设置为将用户输入的参数用GBK去编码,虽然第3行escape()有转义,但是依然可以用宽字节绕过,这属于在代码中有字符编码的转换函数而造成的,属于开篇提到的第二种情况。


2、sqli-labs之Less-36

  • 测试流程

    输入?id=1%df' and 1=1--+成功回显,说明单引号逃逸出来闭合了语句。

image-20210412153307310

然后和前面一样,order by 二分法测出主查询字段数为3。

直接union注入查数据库名、表名、字段名、字段值等等,进一步获取管理员账号和密码。

这里就不再赘述。

  • 源码分析

    核心代码:

    function check_quotes($string)
{
    $string= mysql_real_escape_string($string);    
    return $string;
}

// take the variables 
if(isset($_GET['id']))
{
$id=check_quotes($_GET['id']);
//echo "The filtered request is :" .$id . "<br>";

//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

mysql_query("SET NAMES gbk");
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    ​ 如上述代码第10行,虽然用mysql_real_escape_string()进行了转义,但是后面第20行将字符集编码设置成了GBK,所以直接宽字节就可以绕过,与上例大同小异。

0ak1ey
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入--宽字节注入
weixin_44940180的博客
08-04 738
什么是字节 当某字符的大小为一个字节时,称其字符为窄字节 当某字符的大小为两个字节时,称其字符为字节 所有英文默认占一个字节,汉字占两个字节 常见的字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等 使用宽字节注入的前提 数据库使用了gbk编码 使用了过滤函数,将用户输入的单引号转义(mysql_real_escape_string,addslashes) 这样被处理后的sql语句中,单引号不再具有‘作用’,仅仅是‘内容’而已,换句话说,这个单引号无法发挥和前后单引号
Pikachu靶场通关教程
最新发布
npc88888的博客
04-17 1685
账号:admin 密码:123456爆破代码。
pikachu靶场通关之sql注入
qq_74825121的博客
01-21 2586
pikachu靶场通关之sql注入
宽字节注入
Fisher
01-10 189
发一下许久之前写的宽字节注入,引用部分sql注入天书 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷...
pikachu靶场 宽字节注入 SQL注入学习记录
Nobody45678的博客
02-19 436
以下是摘抄的重点字符型的注入点我们都是用单引号来判断的,但是当遇到addslashes()时,单引号会被转义成 ’ ,导致我们用来判断注入点的单引号失效。所以我们的目的就是使转义符 \ 失效、使单引号逃逸。
[Pikachu靶场实战系列] SQL注入宽字节注入
00勇士王子的博客
08-01 3423
宽字节注入原理 在数据库中使用了字符集(GBK,GB2312等),除了英文都是一个字符占两字节MySQL在使用GBK编码的时候,会认为两个字符为一个汉字(ascii>128才能达到汉字范围); 在PHP中使用addslashes函数的时候,会对单引号%27进行转义,在前边加一个反斜杠”\”,变成%5c%27; 可以在前边添加%df,形成%df%5c%27,而数据进入数据库中时前边的%df%5c两字节会被当成一个汉字; %5c被吃掉了,单引号由此逃逸可以用来闭合语句。 使用PHP函数iconv(‘
第十九节 字节SQL注入-01
09-15
宽字节注入代码分析 在字节SQL注入攻击中,攻击者可以使用 Php 的addslashes 函数来转义特殊字符,例如将“'”转义为“%DF\'”。然后,在MYSQL中,这个字符将被认为是一个合法的字符,从而 bypass 数据库的安全...
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
宽字节注入、SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB数据库)、SQL...
超级SQL注入工具使用说明书V1.1 20190303.docx
05-03
总的来说,超级SQL注入工具以其高效、全面的特性,为安全测试人员和信息安全工程师提供了强大的SQL注入检测和利用能力。它不仅可以帮助测试人员快速发现和理解注入漏洞,还能通过详尽的发包记录辅助学习和解决问题。...
第四期-SQL注入的入坑之道.pdf
08-08
SQL 注入SQL 注入原理篇 - SQL 注入初级 SQL 注入中级 SQL 注入高级 SQL 工具篇 DNS 注入 &sqlmap 进行 DNS 注入 11 种常见 SQLmap 使用方法 SQL注入工具 SQL注入工具拓展篇 SQL 注入实战篇 - ...宽字节注入详解
sql注入系列课程
06-11
3. **不同类型的SQL注入**:课程将涵盖不同类型的SQL注入,如盲注、堆叠注入、宽字节注入等,每种都有其独特的利用方式和应对策略。 4. **服务器权限获取**:在高级阶段,课程可能会介绍如何通过SQL注入进一步获取...
PHP与SQL注入攻击[二]
10-30
SQL注入攻击是黑客通过向应用程序提交恶意SQL代码,从而控制或操纵数据库的一种手段。这种攻击方式可能导致数据泄露、用户账户被劫持,甚至整个数据库的破坏。 **Magic Quotes** 是PHP早期提供的一种安全特性,用于...
Web安全SQL注入精讲视频.zip
04-16
目录网盘文件永久链接 1-1 SQL注入的业务场景以及危害.mp4 1-2 真实网站中的SQL注入是怎么样的.mp4 1-3 SQL为什么有那么多分类.mp4 ...3-5 宽字节注入.mp4 3-6 过滤函数绕过(综合实验).mp4 4-1SQL注入防御.mp4
sql injection(SQL注入)教程
10-25
除此之外,还有**宽字节注入**,主要针对处理字符集(如GBK)的系统,通过特殊编码序列来绕过过滤机制。**DNSLog注入**则是将查询结果写入DNS查询,通过监视DNS流量来获取数据。 最后,**SQL注入写入Webshell**是...
超级SQL注入工具使用说明书V201512271
08-08
【超级SQL注入工具使用说明书V201512271】 超级SQL注入工具(SSQLInjection)是一款高效、全面的SQL注入检测和利用工具,它基于HTTP协议,能够处理HTTP请求的任意位置出现的SQL注入漏洞。该工具不仅支持多种类型的...
11、注入篇--宽字节注入
WX公众号-小白学安全
04-05 573
文章目录原理利用防范靶场 原理 利用 防范 靶场
Pikachu(皮卡丘)靶场中SQL注入
剁椒鱼头没剁椒的博客
12-14 4971
1)宽字节注入指的是 mysql 数据库在使用字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
Pikachu--宽字节注入--POST
weixin_70770389的博客
03-14 212
pikachu靶场的宽字节注入,记录一下自己的作业步骤
SQL注入进阶之1宽字节注入攻击(Pikachu漏洞练习平台)
ISNS的博客
02-29 4460
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 宽字节注入攻击可以说是SQL注入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询注入攻击、布尔盲注、报错注入、时间盲注这几种常见的SQL注入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL注入方式中,要翻牌的就是宽字节注入。 原理讲解 接下来的讲解,将以问...
SQL 注入的宽字节注入的原理
06-09
宽字节注入是一种常见的 SQL 注入技术,它利用了一些编码方式对非 ASCII 字符进行编码的特点,从而绕过某些安全机制,达到执行恶意 SQL 语句的目的。 宽字节注入的原理是将非 ASCII 字符编码为多个 ASCII 字符,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值