【漏洞挖掘】——117、宽字节注入深入刨析

已于 2024-06-26 13:25:01 修改
阅读量328 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: 宽字节注入 SQL注入 web渗透 Web安全 渗透测试
于 2024-06-26 09:24:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/139976445
基本介绍

首先我们需要一起来了解一下什么是窄字节、宽字节、宽字节编码(英文默认占一个字节,汉字占两个字节):

  • 窄字节:字符的大小为一个字节时,称其字符为窄字节
  • 宽字节:字符的大小为两个字节时,称其字符为宽字节
  • 宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等

宽字节注入主要是源于程序员设置数据库编码与PHP编码设置为不同的两个编码格式从而导致产生宽字节注入,例如:在使用PHP连接MySQL的时候,很多人都会增加一句

"set character_set_client = gbk"

MySQL在使用GBK编码的时候会认为两个字符为一个汉字,例如:%aa%5c是一个汉字(前一个ascii码大于128才能到汉字的范围),而程序员们在过滤'的时候往往利用的思路是将'转换为\' ,因此我们可以想办法将'前面添加的\除掉,一般有两种思路:

  • %df吃掉'\':具体的原因是urlencode('\)=%5c%27,我们在%5c%27前面添加%df,形成%df%5c%27,而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字,此时%df%5c就是一个汉字,%27则作为一个单独的符号在外面,同时也就达到了我们的目的
  • 将\'中的\过滤掉:可以构造%**%5c%5c%27的情况,后面的%5c会被前面的%5c给注释掉,这也是bypass的一种方法,'转换为utf-16为�'
注入流程

宽字节注入除了上面的构造外和其余注入没有什么特别大的区

了解本专栏 订阅专栏 解锁全文
漏洞挖掘】——110、Bigint报错注入深入
Fly_鹏程万里
06-21 269
数据类型BIGINT的长度为8字节,也就是说长度为64比特,这种数据类型最大的有符号值,用二进制、十六进制和十进制的表示形式分别为"0b0111111111111111111111111111111111111111111111111111111111111111"、"0x7fffffffffffffff"和"9223372036854775807",当对这个值进行某些数值运算的时候,比如加法运算,就会引起"BIGINT value is out of range"错误,例如:\。
漏洞挖掘】——23、XXE漏洞挖掘(上)
Fly_鹏程万里
03-05 3237
XML(可扩展标记语言)是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,它是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
Sql漏洞注入宽字节注入
Matheus的博客
07-30 684
绕过–宽字节注入攻击 宽字节注入攻击 由于sql注入的盛行,不少网站管理员都意识到了这种攻击方式的厉害,纷纷想出不少办法来避免,例如使用一些 Mysql 中转义的函数 addslashes,mysql_real_escape_string, mysql_escape_string等等。其实这些函数就是为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义。 Addslashes()函数:对get、post、cookie等传递的参数中的’、“、\、null等进行转义 mysql_real_esca
SQL注入漏洞-09】宽字节注入靶场实战
cc
02-07 5758
如果数据库使用的是DBK编码,而PHP使用的是UTF-8编码 ,那这样就可能出现注入问题。原因是程序员为了防止SQL注入,就会调用addslashes转移函数,将单引号或双引号进行转义操作,转义无非便是在单或双引号前加上转义字符(\)进行转义 ,但这样并非安全,因为数据库使用的是宽字节编码,两个连在一起的字符会被当做是一个汉字,而在PHP使用的UTF-8编码则认为是两个独立的字符,如果我们在单或双引号前添加一个字符,使其和转义字符(\)组合被当作一个汉字,从而保留单或双引号,成功进行宽字节注入
堆叠注入宽字节注入
最新发布
十步不敢沙人的博客
03-12 846
堆叠与宽字节注入是如何攻击的?解多语句执行及编码漏洞利用原理,剖真实攻击链与高效防御策略,加固数据库安全壁垒!
MySQL宽字节注入漏洞
HelloWeb2014的博客
03-07 8267
MySQL宽字节注入漏洞 By HelloWeb 2017-3-7 MySQL宽字节注入漏洞SQL注入漏洞攻防技术相互促进的一个典型例子。 1 经典SQL注入漏洞 例子1是没有任何SQL注入防护措施的PHP程序,它存在SQL注入漏洞。 <?php $name=$_GET['name']; $conn=mysql_connect('localhost','root','roo
mysql 南邮ctf_宽字节注入和防御(示例代码)
weixin_42282482的博客
02-07 381
0、前言最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。1、概述主要是由于使用了宽字节编码造成的。什么是字符集?计算机显示的字符图形与保存该字符时的二进制...
漏洞挖掘】——22、DDE漏洞攻击介绍
Fly_鹏程万里
03-03 1532
2017年10月SensePost发布了一篇文章并在其中解释了如何在不使用任何宏或脚本的情况下从Microsoft Word文档中执行任意代码,SensePost描述的技术是利用合法的Microsoft Office功能,该功能称为DDE(动态数据交换),DDE旨在允许Microsoft办公应用程序之间传输数据,由于此技术不会使用电子邮件网关可以检测到的恶意宏感染Word文档,因此可以实现与远程代码执行相同的结果,这种攻击非常有效且被广泛用于恶意软件活动和红队评估。
漏洞挖掘】——53、 WebSocket安全概览
Fly_鹏程万里
06-07 677
在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTP History选项卡来查看HTTP历史请求记录信息并做测试的,但是在查看的时候却下意识的点击到了HTTP Proxy右侧的"WebSockets History"选项卡中,从界面的交互历史中发现网站有使用WebSocket进行通信,虽然之前有对Websocket有一些简单的了解(比如:跨越问题),但是未对此进行深入研究,这让我产生了需要深入研究一下的想法。
宽字节注入——漏洞记录
chick11的博客
07-07 382
宽字节注入 已知目标IP为:http://219.153.49.228:41742/new_list.php?id=1,加入单引号后页面并没有报错 加上%df,可以看到页面报错,说明是单引号闭合: 后面跟上正常sql注入语句即可,order by判断列数,为5时返回正常: 为6时,返回报错: 联合查询,看到3和5可利用: 查询当前数据库和用户: 查询表格: 查询stormgroup_member
MySQL宽字节注入漏洞_[投稿]宽字节注入详解
weixin_29378273的博客
02-08 206
前言在mysql中,用于转义的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。首先,宽字节注入与 HTML页面编码是无关的,笔者曾经看到就放弃了尝试,这是一个误区,SQL注入不是XSS。虽然他们中编码的成因相似,不过发生的地点不同。很多网上的...
SQL 注入漏洞(十一)宽字节注入
不秃头的程序Yang
06-20 846
一、宽字节注入
深入探究宽字节注入漏洞与修补原理
热门推荐
Exploit的小站~
05-10 1万+
 0、前言 最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。 1、概述 主要是由于使用了宽字节编码造成的。 什么是字符集? 计算机显...
宽字节注入漏洞原理以及修复方法
it知识分享 free for nothing..
02-07 1537
宽字节注入漏洞原理以及修复方法
iwebsec靶场 SQL注入漏洞通关笔记2- 字符型注入宽字节注入
mooyuan的网络安全博客
11-26 3810
打开靶场,url为id=1如下所示本次渗透的关卡为字符型注入,其实总结来讲本关卡的难度相对而言作为第二关有些难度。通过源码再来分SQL注入重点内容:(1)闭合方式是什么?iwebsec的第02关关卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是宽字节注入,需要使用%df(3)是否过滤了关键字?很明显通过源码,iwebsec的字符型关卡无过滤任何信息。
宽字节注入
jokerhappy的博客
10-15 802
首先介绍宽字节注入的原理: 宽字节注入的产生是字符集不一致造成的,如:前端使用UTF-8编码,数据库使用GBK编码,在进行解码时,数据库将两位的UTF-8编码读取成一位GBK编码,从而绕过服务器的转义函数,进行的sql注入。 GBK编码 GBK编码,是对GB2312编码的扩展,用于存储汉字。GBK编码采用双字节编码方案,其编码范围:8140- FEFE。 编码表: http://www.qqxiuzi.cn/zh/hanzi-gbk-bianma.php 转义函数 认识一下用到的转义函数addslashes
Web安全原理剖(八)——宽字节注入攻击
Phantom03167的博客
09-25 1万+
宽字节注入攻击
SQL注入——宽字节注入
一只web狗
06-21 608
宽字节注入简介
【网络安全SQL注入 -- 宽字节注入
yyyyyybw的博客
09-26 470
宽字节注入是一种利用字符编码漏洞SQL注入攻击技术。当应用程序没有正确处理用户输入数据并在构造SQL查询语句时使用了错误的字符编码时,攻击者可以通过插入特殊编码的宽字符来绕过输入过滤和SQL语句构造的限制。宽字符是指UTF-8编码中的特定字符,如%df%27,其中%df是宽字节的前缀,%27是单引号的URL编码。这样,攻击者可以注入恶意的SQL语句,绕过验证并获取未经授权的数据。
如何挖掘sql注入漏洞实战
01-23
### SQL注入漏洞挖掘实战教程 #### 一、理解SQL注入原理 SQL注入是一种通过在输入字段中插入恶意SQL语句,使应用程序将其作为合法查询的一部分发送给数据库并执行的技术。当程序员未能正确验证或转义用户输入时,这种攻击便可能发生[^2]。 #### 二、准备测试环境 为了安全地练习SQL注入技能,建议在一个受控环境中操作。可以使用像DVWA (Damn Vulnerable Web Application) 或者SQLi Labs这样的平台来进行实验。这些工具提供了多个不同级别的挑战供学习者尝试不同的注入手法[^4]。 #### 三、识别潜在目标 寻找可能存在SQL注入的地方通常集中在以下几个方面: - 登录表单中的用户名/密码框; - URL参数(GET请求),特别是那些看起来像是ID或其他数值型数据的部分; - 表单提交的数据项(POST请求); 对于每一个可能的目标点,都需要仔细分其背后的工作机制以及如何处理传入的信息。 #### 四、探测是否存在SQL注入可能性 一旦锁定了怀疑的对象之后,可以通过简单的试探性命令来判断是否有注入的机会。例如,在URL后面加上`' OR '1'='1`看看页面返回的结果是否会改变。如果确实存在漏洞,则说明该处未经过充分过滤就可以接受外部输入的特殊字符。 ```sql http://example.com/page.php?id=1' OR '1'='1 ``` #### 五、利用时间延迟函数进行盲注 有时候直接查看网页源码并不能立即得知成功的注入情况,这时就需要借助于一些特定的方法如基于布尔逻辑的时间延迋试验法。比如下面的例子展示了如何用MySQL内置的SLEEP()函数让服务器等待几秒钟再响应: ```sql http://example.com/page.php?id=1 AND IF((SELECT ASCII(SUBSTRING(@@version,1,1)))>57,SLEEP(5),0)--+ ``` 这段代码的意思是说:“如果你当前使用的MySQL版本号的第一个字节大于ASCII值57的话,请暂停5秒后再继续。” 如果页面加载速度明显变慢了,那就意味着条件成立,从而证明我们可以进一步探索这个漏洞。 #### 六、提取敏感信息 成功突破防御后,下一步就是要尽可能多地获取有价值的情报。这包括但不限于读取配置文件、枚举所有可用数据库及其结构等。这里以列举出所有的库为例: ```sql http://example.com/page.php?id=-1 UNION SELECT NULL,database(),NULL FROM information_schema.tables WHERE table_schema NOT IN ('mysql','information_schema') LIMIT 1 OFFSET 0--+ ``` 上述查询将会显示除系统自带之外的第一条记录所对应的数据库名称。通过调整LIMIT子句里的偏移量(offset),还可以依次访问其他更多项目。 #### 七、自动化工具辅助检测与利用 虽然手动方式有助于深入理解和掌握整个流程,但在实际工作中往往更加依赖高效便捷的自动化解决方案。其中最著名的莫过于开源项目——SQLMap。它不仅支持多种类型的数据库管理系统(DBMS),而且具备强大的功能集,可以帮助快速定位问题所在,并提供相应的修复建议[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值