GBK宽字节注入
条件
- 数据库支持,并采用GBK格式进行编码
- 在获取url数据时,使用addslashes或是其他方式对单引号
'
进行了转义,使其变成了\'
,php的GET、POST等方法默认都会进行此操作
上面的两个条件缺一不可,gbk编码不太好确定,但是第二个比较好确认,例如输入的url为?id=1'
,返回了?id=1\'
利用
当遇到上述的两个反斜杠时,可以有以下两种思路:
- 把
\
也给转义掉,比如用三个斜杠\\\
- gbk宽字节注入
gbk编码会把连续的两个字符视作是一个汉字字符,当且仅当第一个字符的ascii码大于128,常用的第一个字符是%df
,不过像%a1
什么的都可以
也就是说,当遇到如下的url时:
?id=1%a1%27%20or%201=1 # ?id=1%a1' or 1=1
在服务器进行了如下两个步骤:
- 在
%27
,即单引号之前添加一个反斜杠\
%a1\
两个字符被gbk
编码识别成了一个汉字字符,\
对于单引号'
的转义功能失效,变成where id = '1﹏' or 1=1
然后就能逃过对单引号的局限,为所欲为啦