mysql 绕过addslashes,SQL注入:Bypass addslashes()

最新推荐文章于 2025-10-13 15:46:17 发布
转载 最新推荐文章于 2025-10-13 15:46:17 发布 · 1.5k 阅读 · 5
文章标签:

#mysql 绕过addslashes

本文介绍了如何在遇到PHP的addslashes()函数对SQL注入进行防护的情况下,利用GBK双字节注入进行实战绕过。通过创建测试页面并提交带有特殊GBK字符的POST数据,成功实现了SQL注入,展示了在安全函数面前的规避策略。
部署运行你感兴趣的模型镜像

上次研究了GBK双字节注入,这次就得想办法用于实战,我们知道在很多时候,代码会对我们的输入进行过滤或者转义,过滤的的话我们想办法绕过就行,而转义,就得另想办法了

addslashes()

这是PHP中的一个安全函数

addslashes() 函数在指定的预定义字符前添加反斜杠。

这些预定义字符是:

单引号 (‘)

双引号 (“)

反斜杠 (\)

NULL

语法

addslashes(string)

参数

描述

string

必需。规定要检查的字符串。

提示和注释

提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备合适的字符串。

注释:默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

这是来源于W3school中对于函数的解释

如上所说,会对用户输入的

单引号 (‘)

双引号 (“)

反斜杠 (\)

NULL

进行转义,而字符型注入的话单引号又是不可少的一部分,那我们怎么办呢?

记得上次的宽字节那篇Blog Paper中说过,addslashes()这个函数是不考虑当前字符集的,那么便可以产生GBK的双字节注入

写了一个test页面

test

Username :

Password  :

$dbuser ='root';

$dbpass ='';

$dbname ="";

$host = 'localhost';

@$con = mysql_connect($host,$dbuser,$dbpass);

if (!$con)

{

echo "Failed to connect to MySQL: " . mysql_error();

}

@mysql_select_db($dbname,$con) or die ( "Unable to connect to the database: $dbname");

if(isset($_POST['uname']) && isset($_POST['passwd']))

{

$uname = addslashes($_POST['uname']);

$passwd= addslashes($_POST['passwd']);

mysql_query("SET NAMES gbk");

@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

$result=mysql_query($sql);

$row = mysql_fetch_array($result);

if($row)

{

echo "login success";

echo "
";

echo 'name:'. $row['username'];

echo "
";

echo 'Password:' .$row['password'];

}

else

{

echo "Try again looser";

print_r(mysql_error());

}

}

?>

这是测试页面,如上是个POST的提交页面,可以提交POST数据,我们提交的是帐号密码,而账号和密码都是

$uname = addslashes($_POST['uname']);

$passwd= addslashes($_POST['passwd']);

被保护了起来,而构成的SQL查询语句是这样的:

@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

必须要输入单引号闭合前面的部分。我们看下测试页面

f5c852bbc80ac2a4acf8fd2d9ed5df21.png

单纯的提交Username和Password

我们构造,我们如果用

'or 1=1#

去试试看看

49e6756f6ff2aeb154fbe069882143eb.png

抓个包看看

520d31a83f0f3a6b5a34a8a3ea5407bd.png

可以看到,uname的参数值是经过URL编码的。%27就是我们输入的单引号,这样发送过去的话,会被解析,uname的参数值实际上就是

uname=%5C%27or+1%3D1%23

这样单引号就失去了闭合的效果

按照上次那个说的,那就尝试GBK双字节注入,但和GET不太一样,不太好在URL里面直接加%df,那就借助Burpsuite抓包改包

我们看下,依旧输入

'or 1=1#

2312b7daa90ac5d75c93faaf2aab0545.png

然后改变uname的参数值

uname=%df%27or+1%3D1%23

d2afb83bd9fed0bca1c310a1618e8c9a.png

提交后看看

5a2b93ef053927d7285f31c37a545157.png

注入成功了,就这么绕过了

赞过:

赞 正在加载……

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

PHP ctf addslashes,[红日安全]代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_33631836的博客
03-17 823
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并...
sql注入面试题
m0_52484587的博客
07-08 1015
宽字节注入主要利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字,当php中addslash和magic_quotes_gpc开启时,会对单引号(0x27)进行转义,形成’的形式,\的16进制编码是0x5c,当使用GBK编码时,0x5c前如果出现类似0xdf之类的字符,就会结合形成一个汉字,结果就是0xdf5c27,而0xdf5c会结合成一个汉字,后面的引号(27)自然就再次生效(转义失效,被df吃掉了),这就是宽字节注入的原理。\6. 规范编码,字符集。
sql注入绕过addslashes函数-宽字节注入
G208_522的博客
03-15 4886
宽字节注入 宽字节注入要求: 1、数据库的编码为GBK 2、addslashes()函数,检测在单引号前加\ addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) NULL 一、单引号探测 http://localhost:8899/sqli-lab/Less-33/index.php?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为G
常见的Sql注入利用及sqlmap的简单使用(均在靶场内实现)
最新发布
2302_81234358的博客
10-13 1053
本文系统梳理了SQL注入技术,包括以下核心内容:1. 注入基础知识:URL编码规则(%23代替#、%20代替空格等)、进制标识方法;2. 常见注入点:URL参数、表单输入、Cookie、HTTP头部字段等;3. 主要注入方法:联合查询(union)、布尔盲注(length/substr/ascii)、时间盲注(if/sleep)、报错注入(updatexml/extractvalue)、宽字节注入、DNSLOG注入;4. 完整注入流程:判断注入点→闭合方式→字段数→回显位→获取库/表/列信息→提取数据;5.
小技巧|addslashes绕过
weixin_30906425的博客
11-26 1631
1:字符编码问题导致绕过 1.1、设置数据库字符为gbk导致宽字节注入 1.2、使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入 2:编码解码导致的绕过 2.1、url解码导致绕过addslashes 2.2、base64解码导致绕过addslashes 2.3、json编码导致绕过addslashes 3:一些特殊情况导致的绕过 ...
mysql 绕过addslashes_代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_34236986的博客
02-07 866
原标题:代码审计Day13 - 特定场合下addslashes函数的绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
sqli-labs】 less34 POST- Bypass AddSlashes (POST型绕过addslashes() 函数的宽字节注入)
ajxi63204的博客
01-30 424
还是宽字节注入,POST版本的 uname=1&passwd=1%df' union select 1,2,3# 提交报错 列名不匹配,改一下就好了 uname=1&passwd=1%df' union select 1,2# 看一下源码,果然只select了两个字段 转载于:https://www.cnblogs.com...
concat mysql sql注入_sql注入总结(一)--2018自我整理
weixin_42516040的博客
12-29 351
SQL注入总结前言:本文和之后的总结都是进行总结,详细实现过程细节可能不会写出来~所有sql语句均是mysql数据库的,其他数据库可能有些函数不同,但是方法大致相同0x00 SQL注入原理:SQL注入实质上是将用户传入的参数没有进行严格的处理拼接sql语句的执行字符串中。可能存在注入的地方有:登陆页面,搜索,获取HTTP头的信息(client-ip , x-forward-of),订单处理(二次注...
精选资源
第十九节 宽字节SQL注入-01
09-15
在宽字节SQL注入演示中,我们使用了Sqli-Lab 33的示例,演示了如何使用宽字节SQL注入攻击来 bypass 数据库的安全机制。我们使用的payload是“id=%df'”,这个payload将被MYSQL认为是一个宽字符,从而使得攻击者可以...
Web安全--SQL注入
bobo_milk的博客
11-10 667
floor():id=1' and (select 1 from (select count(*),concat(操作代码,floor(rand(0)*2))x from information_schema.tables group by x)a) --+extractvalue():id=1' union select 1,(extractvalue(1,concat(0x7e,(select 操作代码)))) --+最快的办法就是使用工具跑,可以使用bp的intruder进行爆破字符。
SQL注入基础学习(笔记)
部分学习记录
07-29 782
此文为自己学习SQL注入基础的笔记,由于是从某书直接复制过来的,存在格式问题,不过对于阅读应该影响不大,在此留个痕迹,便于以后复习和查阅,也希望能给刚刚开始学习的盆友们一点帮助吧。(不喜勿喷,谢谢) #GET基于报错的SQL注入 #GET基于报错的SQL注入发现 注入类型:数字、字符(单引号、双引号、双单引号、括号)、反斜杠 注入点?id=1 ##less-1 输入:’ 报错: 分析: ‘‘1’’ LIMIT 0,1’ 发现 ‘1’’ LIMIT 0,1 中多了一个单引号,推测输入内容为单引号引起来的字
php中addslashes函数与sql注入
12-18
本文实例讲述了php中addslashes函数与sql注入。分享给大家供大家参考。具体分析如下: addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数’a..z’界定所有大小写字母均被转义,代码如下: 复制代码 代码如下:echo addcslashes(‘foo[ ]’,’a..z’); //输出:foo[ ] $str=”is your name o’reilly?”; //定义字符串,其中包括需要转义的字符 echo addslashes($str);  //输出经过转义的字符串 定义和用法:addslashes(
php mysql_real_escape_string addslashesmysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashesmysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
mysql 绕过addslashes_代码审计之绕过addslashes总结
weixin_31109967的博客
01-19 1258
if(is_null($_REQUEST['username']) || is_null($_REQUEST['password'])){die();}$link=mysql_connect("localhost","root","root");mysql_query("SET NAMES 'gbk'");mysql_select_db("test",$link);$username=$_REQU...
mysql addslashes c,通过addslashes()进行SQL注入的示例?
weixin_31317351的博客
03-23 268
Chris Shiflett用下面的例子清楚地解释了,如果你在数据库中使用GBK编码时尝试它,那当然会有效。即使我尝试过它,也证明了,即使它们非常少,也有机会进行sql注入,但是具有良好知识和能力的人可以轻松注入。这是一个例子.........
addslashes:会导致SQL注入漏洞
热门推荐
悟空悟空,越悟越空
09-15 2万+
参考这位大虾:http://shiflett.org/archive/184  addslash包括php.ini中默认设置的magic_quotes_gpc = On,也会存在这种可能:原因:addslashes对有些特殊字符后跟上(单引号)并不会加把这个变成/如: 0xbf27 的字就不会,所以    縗 OR 1 limit 1/*  这个就存在[code]heade
addslashes deep php,addslashes()函数绕过
weixin_29799209的博客
03-28 1002
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
SQL注入漏洞:str_replace与addslashes的组合问题分析
5. **addslashes的局限性**:addslashes不能处理所有的SQL注入情况,比如它不处理二进制数据,像`%00`这样的NULL字符可以被保留下来,导致潜在的漏洞。在实际应用中,应结合其他更强大的过滤或验证方法,如预编译的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值