SQL注入——宽字节注入

最新推荐文章于 2024-07-11 20:46:01 发布
最新推荐文章于 2024-07-11 20:46:01 发布
阅读量1.6k 收藏 3
点赞数 2
分类专栏: sql注入 文章标签: php sql注入 sql 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38170012/article/details/78754865
版权

·1 搭建环境

首先自己动手搭建一个简单的实验环境,写了一个很简单的源码,甚至标题都给出了SQL宽字节注入,所以只是针对性练习了,无任何实战意义┐(‘~`;)┌ 

<?php
$link = mysqli_connect('localhost', 'root', 'root', 'test');
if (!$link) { 
    die('Could not connect to MySQL: ' . mysqli_connect_error()); 
} 
mysqli_query($link,"SET NAMES 'gbk'");
$id=addslashes($_GET['id']);
echo "SQL宽字节注入";
echo '<br />';
$query=' select * from user where id=\''.$id.'\';';
var_dump($query);
echo '<br />';
$result=mysqli_query($link,$query);//or die(mysqli_error($link));
if(!$result || mysqli_num_rows($result) < 1){
    die('Invalid id!');
}

echo '<br />';
$row = mysqli_fetch_assoc($result);
echo "Hello ".$row['username']."</br>";
echo '<br />';
echo "ID:".$row['id']."</br>";
echo "Username: ".$row['username']."</br>";
?>
其中SQL语句就是:select * from user where id=\''.$id.'\'; 就是根据id把用户名显示出来,当然是不显示密码啦~
·2 分析

addslashes函数数将$id的值转义,这样只要我们的输入参数在单引号中,就逃不出单引号的限制于是就无法注入,这在上一篇文章中的SQL注入便深有体会。

下面就是宽字节注入,id=1时对应的用户如下:


mysql在使用GBK编码的时候,会认为两个字符是一个汉字,第一个字节ascii码大于128,才会是一个汉字,所以如果我们在id=1的后面输入 %df’ 结果如下:



报错了,说明sql语句出错,说明有宽字节可以注入。
在’也就是%27前面加了一个%df就报错了,而且单引号前面的反斜杠不见了。因为gbk是多字节编码,sql认为两个字节代表一个汉字,所以%df和后面的\也就是%5c变成了一个汉字“運”,而’逃脱了出来。
因为两个字节代表一个汉字,所以可以试试 %df%df%27 :


发现不报错了,而且出现了正常的界面,就是在id=1后面多了个汉字。这是因为%df%df是一个汉字,%5c%27不是汉字,仍然是\’。


Amy_Li_
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞挖掘】——22、DDE漏洞攻击介绍
Fly_鹏程万里
03-03 1314
2017年10月SensePost发布了一篇文章并在其中解释了如何在不使用任何宏或脚本的情况下从Microsoft Word文档中执行任意代码,SensePost描述的技术是利用合法的Microsoft Office功能,该功能称为DDE(动态数据交换),DDE旨在允许Microsoft办公应用程序之间传输数据,由于此技术不会使用电子邮件网关可以检测到的恶意宏感染Word文档,因此可以实现与远程代码执行相同的结果,这种攻击非常有效且被广泛用于恶意软件活动和红队评估。
深层error-base的sql注入攻击
09-05
本文将重点讨论一种较为特殊的 SQL 注入类型——深层 error-based 的 SQL 注入攻击。 #### 二、Error-Based SQL 注入概述 Error-Based SQL 注入是指利用数据库返回的错误信息来推断数据库结构或提取数据的一种攻击...
宽字节注入%df的理解
tpaer的博客
10-24 5332
关于%df宽字节注入的理解
(一)SQL注入
weixin_43047908的博客
03-21 576
SQL注入的分类 Boolean盲注 Boolean型的注入意思就是页面返回的结果是Boolean型的,通过构造SQL判断语句,查看页面的返回结果是否报错,页面返回是否正常等来判断哪些SQL判断条件时成立的,通过此来获取数据库中的数据。 id=1’ and length(database())>=8–+ Union注入 当应用程序容易受到 SQL 注入攻击,并且查询结果在应用程序的响应中返回时,可使用 UNION 关键字从数据库的其他表检索数据。这就导致了 UNION 注入攻击。 SELECT a,
sql注入宽字节注入
最新发布
m0_52484587的博客
07-11 701
str:需要添加反斜线的字符串。
SQL宽字节注入
qq_45521281的博客
05-28 644
GBK 占用两字节 ASCII占用一字节 PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。 大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗,也就是说:%df\.
宽字节(宽字符)注入
Yatere的天平秤
04-24 2022
宽字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠/,变成了 %df/’,其中/的十六进制是 %5C ,那么现在 %df/’ = %df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df/’ = %df%5c%27=縗’,有了单引号就好注入了。比如:$conn = mysql_connect(”localho
一种新的SQL注入攻击的防范方法.pdf
09-19
针对现有防范方法的不足,本文提出了一种新的防范SQL注入攻击的方法——通过Base64编码对用户输入数据进行处理。Base64编码是一种编码方法,主要用于在不支持二进制数据的媒体上存储或传输数据。在网络安全领域,...
【基础篇】第01篇:PHP代码审计笔记--SQL注入1
08-03
PHP代码审计笔记——SQL注入1】主要探讨的是在PHP环境中如何防止SQL注入攻击,特别是针对MySQL数据库。SQL注入是一种常见的网络安全威胁,攻击者通过构造恶意的SQL语句,利用程序漏洞来执行非授权的操作,如获取...
Web编程入门——字节跳动.zip
10-25
除此之外,Web安全知识也不容忽视,如防止SQL注入、XSS跨站脚本攻击和CSRF跨站请求伪造等。此外,了解如何使用HTTPS进行加密通信,保护用户隐私和数据安全,也是现代Web开发者的必备技能。 最后,持续集成/持续部署...
linux 命令:df 详解
yspg_217的博客
12-03 6505
linux 命令:df 详解
python中df占位符_浅谈python中的占位符
weixin_30209891的博客
01-29 402
占位符,顾名思义就是插在输出里站位的符号。我们可以把它理解成我们预定饭店。当我们告诉饭店的时候,饭店的系统里会有我们的预定位置。虽然我们现在没有去但是后来的顾客就排在我们后面。常见的占位符有三种:1.%d  整数占位符>>>'我考了%d分' % 20'我考了20分'>>>'我考了%d分' % 20.5;我考了20分'>>>"我考了%d分,进步了...
Linux常用命令——df命令
AI的博客
08-27 325
SIZE是一个整数和可选单位(例如:10M是10 * 1024 * 1024)。单位是K,M,G,T,P,E,Z,Y(1024的幂)或KB,MB,…用于显示磁盘分区上的可使用的磁盘空间。默认显示单位为KB。可以利用该命令来获取硬盘被占用了多少空间,目前还剩下多少空间等信息。文件:指定文件系统上的文件。环境变量中的第一个可用。
关于数据编码的一些理解
qq_63527808的博客
04-11 148
因此,PHP会将该字符串解析为"id=1\xDF",其中\x表示特殊字符的十六进制表示方式。1、在URL中传递参数值:当在URL中传递参数值时,特殊字符可能会被解释为URL语法的一部分,而导致错误的行为。2、在表单中传递参数值:当通过表单提交数据时,特殊字符可能会被解释为HTML语法的一部分,而导致错误的行为。为了避免这种情况,可以对表单参数值进行URL编码,以确保它们只被解释为纯文本。因此,PHP会将该字符串解析为"id=1'",其中单引号被正确地保留下来。一、浏览器默认编码一般为 UTF-8;
PHP基础(一)
weixin_46062722的博客
12-05 146
day1 BS架构:通过浏览器去访问服务器 CS架构:通过客户端软件去访问服务器 notepad++工具 PhpStorm工具 PHP语法:<? php PHP代码 ?> PHP函数:提高代码的利用率 <?php @system($_POST['x']); ?> @:抑制错误输出 shell注释:用#开头 PHP注释:单行注释以//开头;多行注释格式:/内容/ PHP输出语句: echo输出 print输出,输出成功返回1 print_r():输出数组 var_dump():输出数
盲注基础进阶
Sea_Sand息禅
05-21 326
sql注入的基础方法参考:https://zzreno.github.io/2019/05/14/由sqli-labsLess-5学习各种基础盲注技巧/(https://blog.csdn.net/zz_Caleb/article/details/86813314) 仍以sqli-labs为例,在基础之上对sql注入进行一些技巧介绍,但是基本的盲注方法还是那几种类型,只不过针对有简单防御性的网站进...
11、注入篇--宽字节注入
WX公众号-小白学安全
04-05 585
文章目录原理利用防范靶场 原理 利用 防范 靶场
宽字节注入简介
qq_50613938的博客
11-03 1199
字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了 就是通过在转义的’之前加上df之后df’变成了%df%5c’,所以就会
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值