SQL注入之宽字节注入

文章目录

  • 宽字节注入是什么?
  • 注入练习
    • 让转义符失效
    • 联合查询
  • 代码审计

宽字节注入是什么?

宽字节注入准确来说不是注入手法,而是另外一种比较特殊的情况。宽字节注入的目的是绕过单双引号转义。

宽字节注入是一种绕过单双引号转义的手段,严格来说并不是注入手段。

注入练习

让转义符失效

以sqli-labs-32 关为例子,这一关会转义单双引号,所以没有办法进行SQL注入,输入下面语句:

?id=2'

返回页面如下:

SQL注入之宽字节注入_第1张图片

返回的325c27是2\'的ASCII码转16进制的结果

\符号的16进制是5c,这时候想到GBK编码,如果能用GBK编码和5c配对,就能把5c变成GBK编码的一部分,强制它变成汉字,从而让\符号失效。

在https://www.qqxiuzi.cn/bianma/zifuji.php网站中查询GBK编码,在5c前面补两位数字,如825C,查询出汉字,说明可以进行拼接。

在hackbar的URL中输入

?id=2%82'

返回结果,转义符号已失效:

SQL注入之宽字节注入_第2张图片

由于GBK编码的范围从81开始,325c27中的32不在GBK编码范围内,所以32未被匹配成GBK编码。

联合查询

联合查询输入语句:

?id=2%82'and 1=2 union select 1,version(),database() --+

运行结果如下,获得了数据库的版本号和名称:

SQL注入之宽字节注入_第3张图片

代码审计

在路径C:\phpStudy\WWW\sqli-labs-master\Less-32下找到index.php文件用编辑器打开,找到下面的php代码:

//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");

function check_addslashes($string)
{
    $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
    $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
    $string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
      
    
    return $string;
}

// take the variables 
if(isset($_GET['id']))
{
$id=check_addslashes($_GET['id']);
//echo "The filtered request is :" .$id . "
";
//logging the connection parameters to a file for analysis. $fp=fopen('result.txt','a'); fwrite($fp,'ID:'.$id."\n"); fclose($fp); // connectivity mysql_query("SET NAMES gbk"); $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result);

function check_addslashes($string)函数做单双引号的转义;

if(isset($_GET[‘id’]))接收参数,并通过$id=check_addslashes($_GET[‘id’]);语句将参数传给上面的函数;

mysql_query(“SET NAMES gbk”);函数将与数据库交互的字符改成GBK,这个语句是能用GBK让转义符失效的基础。

你可能感兴趣的:(网络安全,sql,android,数据库)