SQL注入——宽字节注入

最新推荐文章于 2025-07-12 06:00:00 发布
最新推荐文章于 2025-07-12 06:00:00 发布
阅读量1.7k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: sql注入 文章标签: php sql注入 sql 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38170012/article/details/78754865

·1 搭建环境

首先自己动手搭建一个简单的实验环境,写了一个很简单的源码,甚至标题都给出了SQL宽字节注入,所以只是针对性练习了,无任何实战意义┐(‘~`;)┌ 

<?php
$link = mysqli_connect('localhost', 'root', 'root', 'test');
if (!$link) { 
    die('Could not connect to MySQL: ' . mysqli_connect_error()); 
} 
mysqli_query($link,"SET NAMES 'gbk'");
$id=addslashes($_GET['id']);
echo "SQL宽字节注入";
echo '<br />';
$query=' select * from user where id=\''.$id.'\';';
var_dump($query);
echo '<br />';
$result=mysqli_query($link,$query);//or die(mysqli_error($link));
if(!$result || mysqli_num_rows($result) < 1){
    die('Invalid id!');
}

echo '<br />';
$row = mysqli_fetch_assoc($result);
echo "Hello ".$row['username']."</br>";
echo '<br />';
echo "ID:".$row['id']."</br>";
echo "Username: ".$row['username']."</br>";
?>
其中SQL语句就是:select * from user where id=\''.$id.'\'; 就是根据id把用户名显示出来,当然是不显示密码啦~
·2 分析

addslashes函数数将$id的值转义,这样只要我们的输入参数在单引号中,就逃不出单引号的限制于是就无法注入,这在上一篇文章中的SQL注入便深有体会。

下面就是宽字节注入,id=1时对应的用户如下:


mysql在使用GBK编码的时候,会认为两个字符是一个汉字,第一个字节ascii码大于128,才会是一个汉字,所以如果我们在id=1的后面输入 %df’ 结果如下:



报错了,说明sql语句出错,说明有宽字节可以注入。
在’也就是%27前面加了一个%df就报错了,而且单引号前面的反斜杠不见了。因为gbk是多字节编码,sql认为两个字节代表一个汉字,所以%df和后面的\也就是%5c变成了一个汉字“運”,而’逃脱了出来。
因为两个字节代表一个汉字,所以可以试试 %df%df%27 :


发现不报错了,而且出现了正常的界面,就是在id=1后面多了个汉字。这是因为%df%df是一个汉字,%5c%27不是汉字,仍然是\’。


【漏洞挖掘】——117、宽字节注入深入刨析
Fly_鹏程万里
06-26 264
窄字节:字符的大小为一个字节时,称其字符为窄字节宽字节:字符的大小为两个字节时,称其字符为宽字节宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等宽字节注入主要是源于程序员设置数据库编码与PHP编码设置为不同的两个编码格式从而导致产生宽字节注入,例如:在使用PHP连接MySQL的时候,很多人都会增加一句。
SQL注入宽字节注入、长字符截断)
qq_28786023的博客
10-05 3426
本文仅记录SQL注入漏洞学习过程中的基本知识。 SQL注入漏洞是完全可以避免的安全问题。从其形成原因来看,就是**用户输入的数据(可能带有恶意)被SQL解释器当作代码执行,**从而获得更多数据库的信息或者获得更高的权限。从原理上来说,SQL注入可以分为两大类,数字型注入;字符串型注入;(《web安全深度剖析 张炳帅》)。 数字型注入 即输入类型为int类型,如ID,年龄,页码等。一般来说,数字型注入只存在于弱类型语句中,如:PHP,ASP,python,而对于C,java等强类型语言则不存在。弱类型语言会自
SQL注入宽字节注入
m0_38103658的博客
10-24 762
SQL注入宽字节注入 0x01简介 SQL注入近几年来连续被OWASP当作十大漏洞中最最危险的漏洞而存在。无论是从数据库中获得敏感信息还是执行一系列的恶意操作甚至是直接获取整个数据库权限,都可能发生在一次小小的提交参数的过程中。为此大多数网站开始对于SQL注入做了一定的防御方法,最早有人提出,将用户提交的所有敏感字符进行过滤和转义,要么将提交参数中的敏感字符过滤掉后再提交给数据库,要么对那些敏...
白话宽字节注入-以彼之道,还施彼身
u011975363的专栏
09-14 622
在正式了解宽字节注入前,咱先简单了解下相关知识:简单知识(1)宽字节:两个字节,代表宽字节编码。 (2)宽字节注入属于sql注入攻击。 (3)字符编码:ASCII:127个字符,每个字符用一个字节表示 , Unicode:最常用的两个字节表示一个字符,如果非常生僻的字符用4个字节表示, UTF-8:根据unicode字符根据不同的数字大小编成1-6个字节,常用的英文的字母为1个字节,汉字通
【DVWA系列】——SQL注入宽字节注入)详细教程
最新发布
2402_84408069的博客
07-12 1008
本文详细解析了DVWA(Damn Vulnerable Web Application)在Low安全级别下的宽字节注入(GBK SQL Injection)攻击技术。文章首先阐述了宽字节注入的工作原理,即利用GBK编码特性绕过PHP防御函数对单引号的转义。随后,通过手工注入步骤演示了如何确认注入点、爆库名与版本号、获取表名和列名,以及提取账号密码等关键操作。此外,还介绍了利用宽字节注入GetShell的方法和自动化工具sqlmap的使用技巧。
(一)SQL注入
weixin_43047908的博客
03-21 718
SQL注入的分类 Boolean盲注 Boolean型的注入意思就是页面返回的结果是Boolean型的,通过构造SQL判断语句,查看页面的返回结果是否报错,页面返回是否正常等来判断哪些SQL判断条件时成立的,通过此来获取数据库中的数据。 id=1’ and length(database())>=8–+ Union注入 当应用程序容易受到 SQL 注入攻击,并且查询结果在应用程序的响应中返回时,可使用 UNION 关键字从数据库的其他表检索数据。这就导致了 UNION 注入攻击。 SELECT a,
宽字节(宽字符)注入
Yatere的天平秤
04-24 2151
宽字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠/,变成了 %df/’,其中/的十六进制是 %5C ,那么现在 %df/’ = %df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df/’ = %df%5c%27=縗’,有了单引号就好注入了。比如:$conn = mysql_connect(”localho
linux 命令:df 详解
yspg_217的博客
12-03 7872
linux 命令:df 详解
SQL注入篇——宽字节注入
爱国小白帽
01-09 1406
注入语句: %DF’ – -
sql注入宽字节注入
m0_52484587的博客
07-11 1131
str:需要添加反斜线的字符串。
python中df占位符_浅谈python中的占位符
weixin_30209891的博客
01-29 454
占位符,顾名思义就是插在输出里站位的符号。我们可以把它理解成我们预定饭店。当我们告诉饭店的时候,饭店的系统里会有我们的预定位置。虽然我们现在没有去但是后来的顾客就排在我们后面。常见的占位符有三种:1.%d  整数占位符>>>'我考了%d分' % 20'我考了20分'>>>'我考了%d分' % 20.5;我考了20分'>>>"我考了%d分,进步了...
宽字节注入简介
qq_50613938的博客
11-03 1329
字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了 就是通过在转义的’之前加上df之后df’变成了%df%5c’,所以就会
C#实现Url编码和解码
热门推荐
风之&诉
10-06 4万+
System.Web.HttpUtility.HtmlEncode(str); System.Web.HttpUtility.HtmlDecode(str); System.Web.HttpUtility.UrlEncode(str); System.Web.HttpUtility.UrlDecode(str); 编码时可以指定编码的 System.Web.HttpUt
渗透测试-SQL注入宽字节注入
lza20001103的博客
04-20 9730
渗透测试-SQL注入宽字节注入
任意文件下载漏洞复现
weixin_46062722的博客
02-25 1185
漏洞介绍 一些网站由于业务需求,可能提供文件查看或者下载的功能,如果对用户查看或者下载的文件不做限制,那么恶意用户可以可以查看或者下载一些敏感文件,比如配置信息、源码文件等 漏洞成因: 存在读取文件的函数 读取文件的路径用户可控且未校验或校验不严格 输出了文件内容 漏洞危害: 下载服务器任意文件,如脚本代码、服务及系统配置文件等,进一步利用获取的信息进行更大的危害。 可用得到的代码进一步代码审计,得到更多可利用漏洞 实验环境:webug靶场 主页 BP抓包 我们把url的路径改为,发送至repeate
宽字节注入和报错注入
ws1813004226的博客
05-25 611
宽字节注入 1.什么是宽字节 当某字符的大小为一个字节时,称其字符为窄字节; 当某字符的大小为两个字节时,称其字符为宽字节; 所有英文默认占一个字节,汉字占两个字节。 常见的宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等等 2.注入条件 (1)数据库使用了gbk编码. (2)使用了过滤函数,将用户输入的单引号转义(mysql_real_escape_string,addslashes) 这样被处理后的sql语句中,单引号不再具有‘作用’,仅仅是‘内容’而已,换句话说,这个单
sql宽字节注入详解
Pz_mstr's Blog
10-12 3977
转载大牛离别歌的文章:https://www.leavesongs.com/PENETRATION/mutibyte-sql-inject.html 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型
SQL注入总结
Lethe's Blog
07-16 1544
一直想刷一下SQL-Labs,最近终于开始行动。刷题之前,先总结一下Mysql注入过程中常用的一些知识点吧! 一、基本知识 1、常用函数 (1)查看当前数据库版本 version() @@version @@global.version (2)查看当前登陆用户 user() current_user() system_user() session_user() (3)当前使用的数据库 ...
POST传参宽字节注入
03-13
### POST 请求中的宽字节注入原理 宽字节注入是一种常见的 SQL 注入攻击形式,通常发生在数据库字符集配置不当的情况下。当 Web 应用程序接收用户的输入并将其传递到后台数据库时,如果未正确处理不同字符集之间的转换,则可能导致宽字节注入漏洞。 #### 原理分析 在某些情况下,Web 服务器和数据库使用的字符集不一致。例如,Web 服务器可能使用 UTF-8 字符集,而数据库则使用 GBK 或其他 ANSI 编码[^5]。在这种环境中,恶意用户可以通过提交特殊字符序列来绕过单引号 `'` 的转义机制。具体来说: 1. **字符集差异**:GBK 是双字节编码,其中部分字符的第一个字节与 ASCII 单字节字符重合。例如,GBK 中的 `0xbf27` 被解析为一个完整的汉字,但在 UTF-8 下会被视为两个独立的字符:`0xbf` 和 `0x27`。 2. **SQL 解析错误**:由于 Web 层面将输入按照 UTF-8 处理解析,而后台数据库按 GBK 进行解析,这会导致原本被转义的单引号重新成为有效的结束标志,从而破坏 SQL 查询语句结构[^4]。 3. **示例代码** ```sql SELECT * FROM users WHERE username = 'admin' AND password = '' OR '1'='1'; ``` 上述例子展示了如何通过构造特定字符串实现逻辑短路,使条件始终成立,进而非法获取数据访问权。 --- ### 防护方法 针对 POST 请求中的宽字节注入问题,可以从以下几个方面加强防护: #### 数据验证与清理 严格校验所有外部输入的数据类型及其合法性,并采用白名单策略过滤掉任何可疑参数值。对于动态拼接至 SQL 语句内的变量务必执行必要的转义操作或者改用预编译语句(prepared statements)[^3]。 #### 统一字符集设置 确保整个应用栈——从前端页面显示直至最终存储于关系型数据库内部均统一采用同一种字符编码方案(推荐UTF-8),减少因跨平台间互操作引发的风险隐患。 #### 使用ORM框架 现代编程语言往往提供对象关系映射(Object Relational Mapping, ORM)库帮助开发者简化持久化层开发工作量的同时也内置了许多安全性保障措施防止诸如SQL Injection之类的常见威胁发生。 ```python from sqlalchemy import create_engine, text engine = create_engine('mysql+pymysql://user:password@localhost/dbname?charset=utf8mb4') with engine.connect() as connection: result = connection.execute(text("SELECT * FROM users WHERE id=:id"), {"id": user_input}) ``` 以上Python片段示范了借助SQLAlchemy这一流行的ORM工具构建安全查询的方式之一。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值