本文详细介绍了宽字节注入的基本原理及在特定条件下如何绕过过滤机制。通过具体的例子说明了如何利用%df等技巧来实现目标,适用于MySQL在GBK编码环境下。
Background-7 宽字节注入
Less-32,33,34,35,36,37六关全部是针对'和\的过滤,所以我们放在一起来进行讨论。
对宽字节注入的同学应该对这几关的bypass方式应该比较了解。我们在此介绍一下宽字节注入的原理和基本用法。
原理:mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%aa%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \' (转换的函数或者思路会在每一关遇到的时候介绍)。
因此我们在此想办法将 ' 前面添加的 \ 除掉,一般有两种思路:
-
%df吃掉 \ 具体的原因是urlencode('\) = %5c%27,我们在%5c%27前面添加%df,形成%df%5c%27,而上面提到的mysql在GBK编码方式的时候会将两个字节当做一个汉字,此事%df%5c就是一个汉字,%27则作为一个单独的符号在外面,同时也就达到了我们的目的。
-
将 \' 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27的情况,后面的%5c会被前面的%5c给注释掉。这也是bypass的一种方法。
扫一扫
2264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
