urldecode mysql_常见WEB漏洞代码层原理分析及利用方式——SQL注入

最新推荐文章于 2021-11-17 10:14:39 发布
最新推荐文章于 2021-11-17 10:14:39 发布
阅读量218 收藏
点赞数
文章标签: urldecode mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39598069/article/details/113685745
版权

原标题:常见WEB漏洞代码层原理分析及利用方式——SQL注入

1.SQL注入

1.1 普通注入

普通注入分为int型和string型,在string型注入中需要使用单或双引号闭合。

1.1.1 整型注入

测试代码:

201fd389fe30a96c1b3412d855e932ee.png

测试代码中GET id参数中存在SQL注入漏洞(整型注入),测试如下

4b1f2a5a898f626622f64f202f75f6fb.png

原本的SQL注入语句已通过查询出错的方式结合union联合查询到了当前数据库的相关信息。需要注意的是查询出错和语法出错是两回事,加单引号和双引号是用来闭合语句重新构造的,像这个例子如果是通过加引号的方式,那样得到的报错是语法错误,数据库根本不会解析执行,同样后半句的联合查询也不会执行。在此一定要把sql注入的原理理解清楚。

数据库操作存在一些关键字,php代码审计的时候可以通过查找这些关键字来定向挖掘SQL注入漏洞:select from、mysql_connect、mysql_query、mysql_fetch_row等。

1.2 编码注入

编码处理的函数也是存在问题的,通过输入转码函数不兼容的特殊字符,可以导致输出的字符变成有害数据。SQL注入里最常见的编码注入是MYSQL宽字节以及urldecode/rawurldecode函数导致的。

1.2.1 宽字节注入

当设置“set character_set_client=gbk”时会导致一个编码转换的注入问题,这就是宽字节注入:注入参数里带入%df%27,即可把程序中过滤出的\(%5c)吃掉。

假设

fdabd0dfb031e39bd35bc74780f628f4.png

里面的id参数存在宽字节注入漏洞,当按照普通字符型注入提交

1f8f04a71621ba02fe89dcdc0849c4eb.png

时,MYSQL实际运行的SQL语句是

61ebde7042c3bee7c353379e7730c397.png

因为提交的单引号被转义导致没有闭合前面的单引号,因此是没有注入成功的。但是如果提交

8ff9e074992898fe89a247ad11782d0a.png

时,这时候MYSQL实际执行的SQL语句是

9b2ba065a9f0282f2b08b4313a7521ac.png

这是由于单引号被自动转义成\'后,前面的%df和转义字符\反斜杠(%5c)组合成了%df%5c,也就是“運”字,这时候后面的单引号还在,成功闭合了前面的单引号。

出现这个漏洞的原因是在PHP连接MySQL的时候执行了“set character_set_client=gbk”的设置,告诉MySQL服务器:客户端来源数据编码是GBK,然后MySQL服务器对查询语句进行GBK转码导致反斜杠\被%df吃掉,而一般都不直接这么设置。通常的设置方法是 SET NAMES 'gbk',等同于如下代码:

f30a0059b0d7152bc49adc77350898d9.png

这同样也是存在漏洞的,官方建议使用mysql_set_charset方式来设置编码,然而它也只是调用了SET NAMES,所以效果也是一样的。不过mysql_set_charset调用SET NAMES之后还记录了当前的编码,留着给后面mysql_real_escape_string处理字符串时使用,所以在后面使用mysql_real_escape_string()函数来参数过滤可以解决这个漏洞。

测试代码:

124dcd6d2496af510e9be8f4852a3cb7.png

测试效果:

ec9c6431ea206fb4a3dba49048e620f6.png

因为编码问题所以存在汉字显示乱码的问题,但是可以看到SQL语句是正常执行了的,注入成功。

对宽字符注入的挖掘只需搜索如下几个关键字即可:SET NAMES、character_set_client=gbk、mysql_set_charset('gbk')

1.2.2 二次urldecode注入

现在的web程序大多都会进行参数过滤,通常使用addslashes()、mysql_real_escape_string()、mysql_escape_string()函数或者开启GPC的方式来防止注入,也就是给单引号(')、(")、反斜杠(\)和NULL加上反斜杠转义。如果某次使用了urldecode或者rawurldecode函数,则会导致二次解码生成单引号而引发注入。

原理是当提交参数到WebSever时,WebSever会自动解码一次,假设目标开启了GPC,提交

909376ed122fb02f942f5d2b44fdd1b7.png

因为提交的参数里没有单引号,所以第一次解码后的结果是id=1%27,%25的解码结果是%,如果程序里使用了urldecode或者rawurldecode函数来解码id参数,则解码后的结果是id=1',单引号成功拼接近字符串,可能引发注入。

测试代码:

6094eba19c783fe05efcd090eb3890e1.png

测试效果:

9f43cc974323862da5653048871c5581.png

这种注入漏洞主要是由于urldecode使用不当导致的,因此可以通过搜索urldecode和rawurldecode函数来挖掘二次urldecode注入漏洞。

注:

此笔记为代码审计一书的学习笔记,将我认为必须要了解和掌握的原理性的知识记录下来便于复习和巩固。同时本书中出现的错误着实不少,不论是文字叙述还是代码段都有,因此我建议大家去自己手动把这些例子都挨着敲一遍,根据报错就可以发现同时也加深对这些漏洞出现的原理的理解。这样以后自己做代码审计的时候举一反三,自己独立挖掘分析,而不是照葫芦画瓢。

版权声明:本文作者 ,文中所述作者独立观点,不代表漏洞银行立场。转载请注明漏洞银行(BUGBANK)返回搜狐,查看更多

责任编辑:

weixin_39598069
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP 小心urldecode引发的SQL注入漏洞
01-20
Ihipop 学校的 Discuz X1.5 论坛被黑,在那里吵了一个下午。... 粗略看了一下代码,这个 SQL 注入漏洞urldecode 函数造成的。在 PHP 手册中,urldecode 函数下面有一个警告: The superglobals $_GET and $_REQ
第14天:WEB漏洞-SQL注入之类型及提交注入1
08-03
在网络安全领域,SQL注入是一种常见Web漏洞,攻击者通过向应用程序的输入字段中插入恶意的SQL代码,以篡改或获取数据库中的敏感信息。本文将详细介绍SQL注入的类型及其提交方式,以及如何进行安全测试。 首先,...
urldecode mysql_urldecode()解码引发注入其实也没那么可怕
weixin_42134168的博客
01-19 505
引子事情是这样的,这次小马写了一个关于判断前端传参是否有汉字并对汉字进行校验的功能,代码如下:又听到很多同学说,要特别注意urldecode的二次解码注入问题。于是搜索了相关资料,大部分说的关于这个urldecode二次解码引发注入的问题是这样的:因为对于编码的字符串 ,PHP本身在处理提交的数据之前会进行一次urldecode解码(大豆存在于PHP5.3以上),然后一般后端接收到参数,自然而然会...
mysql urldecode,urlencode()和urldecode()是把空格转成+号
weixin_35669712的博客
03-17 528
strtoupper() 把整个字符串转化为大写。在这里要注意的是,如果字符是ASCII码以外时,访问会有问题。因为这种访问只能取得一个字节。2. 删除空白字符ucfirst() 把字符串的第一个字符转化为大写,其它字符不变。在PHP中,可以把字符串当成一个字符的数组,可以直接用数组的访问方法来访问字符串。如$str[0]。HTML转义是指把字符串转化成HTML显示用的字符串。对此,PHP中有两个...
支持utf8的mysql urldecode funtion
lins87的博客
03-08 73
:cry: 不要吐槽我为什么用sql语句来做urldecode。。。 但是当你遇到这种情况而且搜到的sql都只支持英文时,这篇文章就有用了 参考文章: [url]http://psoug.org/snippet/url_decode_that_respects_utf8_characters_502.htm[/url] [url]http://www.w3schools.com/ta...
MySQL urlencode/urldecode 支持中文字符
小龙在线
10-18 1073
MySQL urlencode/urldecode 支持中文字符 urlencode DELIMITER ; DROP FUNCTION IF EXISTS urlencode; DELIMITER | CREATE FUNCTION URLENCODE(str VARCHAR(4096) CHARSET utf8) RETURNS VARCHAR(4096) CHARSET utf8 DETERMINISTIC CONTAINS SQL BEGIN -- the individual c
mysql完美实现urlDecode,兼容中文以及特殊字符
热门推荐
mose-x
10-19 13万+
废话不多说,直接上代码 DELIMITER $$ DROP FUNCTION IF EXISTS `urlDecode`$$ CREATE FUNCTION `urlDecode`(original_text TEXT CHARSET utf8mb4) RETURNS TEXT CHARSET utf8mb4 BEGIN DECLARE new_text TEXT DEFAULT ...
URL.zip_url_url decode_url linux_url 解码
最新发布
09-19
本文将深入探讨URL编码的原理、在C++中实现URL编码和解码的方法,以及如何在Win32和Linux平台上进行跨平台编程。 1. **URL编码原理**: URL中可能包含特殊字符,如空格、引号、尖括号等,这些字符在HTTP协议中具有...
Javascript UrlDecode函数代码
10-29
JavaScript中的URL编码与解码是Web开发中常见的操作,特别是在前端与后端数据交互时。`UrlEncode`和`UrlDecode`函数就是用于处理URL字符串的编码和解码过程。在给定的代码中,作者提供了两个自定义的函数:`...
import,mysql,urldecode操作
mazhichao300的专栏
06-10 679
代码过程中碰到3个问题: 不清楚import原理、如何urldecode,如何进行mysql操作(事务,以及如何做到读互斥) 贴几篇看到的文章: 数据库并发访问、事务与锁的关系 python中的urlencode与urldecode MYSQL–事务处理 import与from…import的不同之处 Mysql 事务
mysql urlencode 支持中文
weixin_33831673的博客
03-13 491
为什么80%的码农都做不了架构师?>>> ...
mysql urldecode_urlencode()与urldecode()函数
weixin_35977444的博客
02-01 3624
string urlencode ( string $str ) — 编码 URL 字符串 此函数便于将字符串编码 并将 其用于 URL 的请求部分,同时它还便于将变量传递给下一页。 **作用:**对 url 加密 与 解密 ,其实就是对url中字符串进行编码urlencode()函数原理 对字符串中除了 **- _ . **之外的所有非字母数字字符(中文)都将被替换成百分号(%)后跟两位十六进制...
mysql实现urlencode
weixin_42908843的博客
11-17 1928
mysql实现urlencode,function方式创建function使用function功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 创建function 撒旦法 asdfasdfa 使用function 我们对Markd
MySQL urlencode 函数、urldecode函数 、multiurldecode 函数
Zhi_Sheng的博客
01-24 8786
urlencode 函数 DELIMITER ; DROP FUNCTION IF EXISTS urlencode; DELIMITER | CREATE FUNCTION urlencode (s VARCHAR(4096)) RETURNS VARCHAR(4096) DETERMINISTIC CONTAINS SQL BEGIN DECLARE c VARC
实现MySQL版的urlencode与urldecode函数
andyzhaojianhui的专栏
11-02 1万+
实现MySQL版的urlencode与urldecode urlencode 执行如下脚本 DELIMITER ; DROP FUNCTION IF EXISTS urlencode; DELIMITER | CREATE FUNCTION urlencode (s VARCHAR(4096)) RETURNS VARCHAR(4096) DETE
mysql urldecode_url里面的数据解码
weixin_29228781的博客
02-01 1180
有时在url里面会遇到以下类似的数据https://api.XXXXX.com/track/?data=eyJldmVudCI6ICIkd2ViX2V2ZW50IiwicHJvcGVydGllcyI6IHsiJG9zIjogIldpbmRvd3MiLCIkYnJvd3NlciI6ICJDaHJvbWUiLCIkY3VycmVudF91cmwiOiAiaHR0cHM6Ly93ZWIuaXRpZ2Vy...
mysql sql宽字节注入_Sql 注入详解:宽字节注入+二次注入
weixin_34649372的博客
01-27 179
sql注入漏洞原理:由于开发者在编写操作数据库代码时,直接将外部可控参数拼接到sql 语句中,没有经过任何过滤就直接放入到数据库引擎中执行了。攻击方式:(1) 权限较大时,直接写入webshell 或者直接执行系统命令(2) 权限较小时,通过注入获得管理员密码信息,或者修改数据库内容进行钓鱼等常出现的地方:登录页面、获取HTTP头(user-agent、client-ip等)、订单处理等,HTTP...
urldecode类型注入
公众号shadow sock7
09-26 1858
%通过urlencode之后是%25; '通过urlencode以后是%27 如果在浏览器的地址栏输入的url包含%2527 那么服务器端的php调用echo $_GET['id'];的时候 会在检测到%以后的后面两个数字和%一起,即%25,将%25进行urldecode成为% 这样,再将剩下的27与已经urldecode的%组合成%27,这是'的urlencode形式,于是在服务端用%2
GPC失效下的Web编程漏洞与检测:SQL注入与对策
在"GPC不起作用的情况-web编程常见漏洞与检测"这篇文档中,主要讨论了Web编程中遇到的一些常见漏洞以及如何进行有效的检测。首先,文章提到当全局预处理器(GPC)在某些情况下失效时,可能会引发安全问题。这通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值