sqli-labs————宽字节注入(可以用于绕过滤了单引号或者\的WAF)

最新推荐文章于 2024-04-12 10:44:31 发布
最新推荐文章于 2024-04-12 10:44:31 发布
阅读量2.7k 收藏 1
点赞数 1
分类专栏: 【渗透测试实战】 # Sqli-labs实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/80286926
版权

宽字节注入的原理:

原理:mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。

我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \' 。


宽字节注入实现:

因此我们在此想办法将 ' 前面添加的 \ 除掉,一般有两种思路:

(1)%df吃掉 \
具体的原因是urlencode('\) = %5c%27,我们在%5c%27前面添加%df,形成%df%5c%27,而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字,此事%df%5c就是一个汉字,%27则作为一个单独的符号在外面,同时也就达到了我们的目的。
 (2)将 \' 中的 \ 过滤掉
例如可以构造 %**%5c%5c%27的情况,后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。
sql注入空格被过滤_被过滤了引号的SQL注入如何破?
weixin_39551366的博客
11-20 1454
在去年十月份的时候本菜参加了一场CTF比赛,有一道过滤单引号的SQL注入当时并没有做出来,让我一直心心念念。今天在做CISCN2019 总决赛 EasyWeb题的时候受到了启发,终于解开了一个心头的包袱。先祭出当时比赛的原题,高手请一笑而过。。...
SQL注入过滤单引号是否无解
热门推荐
u012064609的专栏
12-18 2万+
sql注入攻击能够得逞,往往是因为前台页面传递的参数含有非法字符,导致sql原有逻辑发生改变。如经典的登录验证例子 程序处理:select * from tableXX where username
通过两道CTF题学习过滤单引号的SQL注入
Lethe's Blog
03-24 1万+
0x00 前言 通常来说,在进行字符型的SQL注入时,都需要先将前面的引号等(以单引号为例)进行闭合才能执行我们构造的SQL语句,那么如果单引号过滤了,是否还能够成功的SQL注入呢? 答案是可以,当你在判断登录时使用的是如下SQL语句: select user from user where user='$_POST[username]' and password='$_POST[passwor...
mysql 过滤单引号 注入_被过滤了引号的SQL注入如何破?
weixin_39940182的博客
01-19 2601
在去年十月份的时候本菜参加了一场CTF比赛,有一道过滤单引号的SQL注入当时并没有做出来,让我一直心心念念。今天在做CISCN2019 总决赛 EasyWeb题的时候受到了启发,终于解开了一个心头的包袱。先祭出当时比赛的原题,高手请一笑而过。。...
渗透测试-SQL注入宽字节注入
lza20001103的博客
04-20 9583
渗透测试-SQL注入宽字节注入
SQL注入写shell 单引号过滤解决思路
m0_62207482的博客
03-18 1073
写 shell: root 权限,GPC 关闭,知道文件路径outfile函数。%0a、%0b、%a0 等/**/ 等注释符<>
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1907
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
SQL注入——sqli-labs-Less-9时间盲注
m0_63563528的博客
04-06 771
时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同
sql注入(六)sqli-labs手工注入
shirlly_的博客
04-12 999
sqli-labs靶场解析
sqli-labs注入方法总结
wutiangui的博客
09-23 326
用户名:1" ) union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+(用户名:1’) union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+(用户名:1" union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+删除bp原先的cookie,使用以下语句。
SQL注入单引号 限制继续注入
10-29
我想不少人都看过一些关于SQL Injection针对SQL Server攻击的文章,都是因为变量过滤不足甚至没有过滤而构造畸形SQL语句注入
sqli-lab——Writeup21~38(各种过滤WAF和)
weixin_45694388的博客
12-12 727
Less-21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入) base64编码,单引号,报错型,cookie型注入。 本关和less-20相似,只是cookie的uname值经过base64编码了。 登录后页面: mV0L3dlaXhpbl80NTY5NDM4OA==,size_16,color_FFFFFF,t_70) cookie的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的unam
mysql注入单引号过滤_避开sql注入过滤的几个方法
weixin_33375360的博客
02-05 7072
有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。唱出会删除或者净化一些字符,或者阻止常用的sql关键词。我们通常有以下几种技巧,去避开这些过滤。1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。A,如果注入一个数字数据字段,就不需要使用单引号。B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。目的其实很...
sql注入截掉单引号'是不是就无解了哪位大神有办法的指点指点
qq_43095204的博客
04-12 3201
sql注入截掉单引号'是不是就无解了 id=replace(trim(request("id")),"'","") Set rs=GrateRs("Select * from ab where a like '"&id&"'",3) if rs.bof and rs.eof then rs.close set rs=nothing end if ...
sql宽字节注入
2202_75317918的博客
12-17 1295
时,使用了addslashes()处理后的数据在数据库中将以'形式保存,没有上面说的有\的问题,addslashes()起到插入数据不出错的作用,如果此时直接输出的话,数据正常。时,使用了addslashes()处理后的数据在数据库中将以\'形式保存,如果此时直接输出的话,就会发现比自己期待的内容多了个\,因此stripslashes()出场了,它能把\去掉(区别于str_replace(\”, “”,$Str))。1、单字节字符集:所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127)
SQL注入宽字节注入
m0_38103658的博客
10-24 740
SQL注入宽字节注入 0x01简介 SQL注入近几年来连续被OWASP当作十大漏洞中最最危险的漏洞而存在。无论是从数据库中获得敏感信息还是执行一系列的恶意操作甚至是直接获取整个数据库权限,都可能发生在一次小小的提交参数的过程中。为此大多数网站开始对于SQL注入做了一定的防御方法,最早有人提出,将用户提交的所有敏感字符进行过滤和转义,要么将提交参数中的敏感字符过滤掉后再提交给数据库,要么对那些敏...
宽字节SQL注入
一米八多的瑞兹的博客
02-25 200
宽字节SQL注入 1. 宽字节注入基础 最常使用的宽字节注入是利用%df,其实我们只要第一个ascii码大于128就可以了,比如ascii码为129的就可以,但是我们怎么将他转换为URL编码呢,其实很简单,我们先将129(十进制)转换为十六进制,为0x81,如图1所示,然后在十六进制前面加%即可,即为%81 GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F) 2. 宽字节注入代码分析 Sqli-Less32 代码分析 mysql_real_escape_string() 和 ad
sql注入时带引号屏蔽的怎么处理
Huamang的博客
02-09 5538
写了学长给的一个题目,第一关就是一个sql注入,但是尝试了万能密码是不管用的,因为题目把单引号过滤掉了,无法使用单引号来闭合 $sql = "SELECT username, password FROM user WHERE username='" .$user ."' && password='" .$pass ."'"; 要想闭合sql语句加上or 1=1#来使判断条件为真,我学到了一个操作:使用\转义 用\转义后面的单引号 在用户名框输入\,密码框输入or 1=1 #,这样提交后,
sqli-labs less-15 布尔注入 用substr
最新发布
03-04
### 关于SQLi-Labs Less-15中的布尔盲注利用`substr`函数 在处理布尔盲注攻击时,通常通过发送特定条件查询来推断数据库的内容。对于Less-15级别的练习,目标是从`information_schema.columns`表中提取数据列名称的信息。 为了实现这一点,可以构建如下形式的payload: ```sql ?id=1 AND ASCII(SUBSTR((SELECT column_name FROM information_schema.columns WHERE table_name='users' LIMIT 1),position,1))>value# ``` 这里的关键在于理解如何逐步猜测字符并验证结果。具体来说,可以通过调整`position`参数的位置以及比较操作符右侧的`value`来进行二分查找,直到成功重建整个字符串[^1]。 当遇到错误提示如:“You have an error in your SQL syntax”,这表明输入被服务器识别为非法语句,可能是由于单引号未闭合或其他语法问题引起。此时应确保所有特殊字符都已正确编码或转义[^2]。 另外一种方法是采用时间延迟技术(例如`SLEEP()`),这种方法可以在某些情况下过简单的WAF防护措施。不过,在布尔型注入场景下更常用的是直接基于真假返回不同的页面响应内容来进行判断[^3]。 最后值得注意的是版本差异可能影响具体的执行细节;因此建议先确认MySQL的具体版本再做进一步尝试[^4]。 ```python import requests def check_payload(payload): url = 'http://example.com/vulnerable_page' params = {'id': payload} response = requests.get(url, params=params) # 假设如果存在漏洞则会显示正常页面,否则报错 return "you are in" not in response.text.lower() # 测试用例 test_case = "?id=1 AND IF(ASCII(SUBSTR((SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='USERS'),1,1))=97,TRUE,FALSE)" print(check_payload(test_case)) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值