其他类型的注入

1、堆叠注入。

数据库查询语句语法是以分号;结尾。当数据库中出现允许多条查询语句同时成立时候,就能使用堆叠注入。

正常情况:

select * from users where id='1';

堆叠注入情况:

select * from users where id='1';insert into ....#';

演示案例:sqli-lab less38

-1'; insert into users (id,username,password) value (38,'admin38','pass38')%23

原因是我们的输入被放置在 mysqli_multi_query()中了,被允许执行多条数据库查询语句

2、二次注入

如果在初始输入点遇到有sql注入防护的时候,比如addslashes(),我们输入的单引号会被转义,变成反斜杠'。其问题就在于当初始输入被转义后存入数据库中的时候,数据库保存的时候会把\去掉,那一旦我们再次调用该数据的时候,就会形成二次注入。

演示案例:sqli-lab less24

通过对网站的观察,发现有个登陆口,有个注册口,登录后可以修改密码。刚好符合二次注入的场景

我们的攻击目标是 管理员账号admin

首先注册 admin '# ,密码随意,注册成功后,在数据库中显示的就是:

admin '#

然后使用上述账户登录,修改密码,此时数据库的查询就变成:

update users set password='123456' where username = 'admin'' #;

通过上述语句可以看出,实际上'闭合前面的单引号,#注释了后面的单引号,最终修改的username就变成了admin了,也达到了我们在不知道管理员密码的情况下重置了他的密码。

3、宽字节注入

所谓宽字节,主要出现在中文页面上,因为汉字字符的关系,中文编码会占用2个字节位,编码使用的是GBK编码,会把两个字符组合一个汉字。

宽字节注入的产生也是因为对引号的过滤,在url编码中,\的编码是%5c,而'的编码是%27,当被addslashes等过滤手段过滤后,本来输入的: 1' =》1'=>1%5c%27,这本来是一种很好的防御手段。可是在宽字节编码中,%5c恰好可以和其他字符组成一个宽字节汉字。当我们输入1%df'的时候:=>1%df%5c%27 =>1(宽字节)%27,这样就使我们的单引号脱离了反斜杠的束缚,形成特殊字符注入。

以kuan.php为例:

想使用常规的sql注入语句的时候,输入id=1' ,其在数据库中就变成:

select * from wuser where id ='1\''

当使用宽字节注入,输入id=1%df',其在数据库中就变成:

select * from wuser where id ='1運''

接着就可以继续使用常规的sql注入来攻击,输入id= -1%df' union select 1,2,3%23:

select * from wuser where id ='-1運' union select 1,database(),3#'

在sqli-lab less33中,也有类似的应用

4、urldecode编码注入

这种注入的场景主要出现在有urldecode()解码函数的地方。正常的话,浏览器在接收到http请求的时候,特殊字符都是通过url编码的,浏览器会自动解一次码。



你可能感兴趣的:(其他类型的注入)