宽字节注入原理分析[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

什么是宽字节？

如果一个字符的大小是一个字节的，称为窄字节；如果一个字符的大小是两个字节的，成为宽字节

像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节，也就是只有两字节
英文默认占一个字节，中文占两个字节

什么是宽字节注入？

原理：宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候，当设置“character_set_client = gbk”时会导致一个编码转换的问题，也就是我们熟悉的宽字节注入

宽字节注入是利用mysql的一个特性，mysql在使用GBK编码（GBK就是常说的宽字节之一，实际上只有两字节）的时候，会认为两个字符是一个汉字（前一个ascii码要大于128，才到汉字的范围）

GBK首字节对应0×81-0xFE，尾字节对应0×40-0xFE（除0×7F），例如%df和%5C会结合；GB2312是被GBK兼容的，它的高位范围是0xA1-0xF7，低位范围是0xA1-0xFE(0x5C不在该范围内)，因此不能使用编码吃掉%5c

常见转义函数与配置：addslashes、mysql_real_escape_string、mysql_escape_string、php.ini中magic_quote_gpc的配置

Mysql相关知识

Mysql中有个连接层，何为连接层？
在MYSQL中，有一个中间层的结构，负责客户端和服务器之间的连接，称为连接层
交互的过程如下：
（1）客户端(这里指php)以某种字符集生成的SQL语句发送至服务器端(这里指Mysql)，这个“某种字符集”其实是任意规定的，PHP作为客户端连接MYSQL时，这个字符集就是PHP文件默认的编码。
（2）服务器(Mysql)会将这个SQL语句转为连接层的字符集。问题在于MYSQL是怎么知道我们传过来的这个SQL语句是什么编码呢？这时主要依靠两个MYSQL的内部变量来表示，一个是character_set_client（客户端的字符集）和character_set_connection（连接层的字符集）。
（3）总的来说，就是php把sql语句传给mysql时，要转换character_set_connection字符集的编码，执行流程就是：将php的sql语句以character_set_client编码（也就是转为16进制数），再将16进制数以character_set_connection进行编码（也就是转换为url编码），然后以内部操作字符集进行url解码，最后以character_set_results编码输出结果
内部操作字符集怎么确定？进行内部操作前将请求数据从character_set_connection转换为内部操作字符集，其确定方法如下：
• 使用每个数据字段的CHARACTER SET设定值;
• 若上述值不存在，则使用对应数据表的DEFAULT CHARACTER SET设定值(MySQL扩展，非SQL标准);
• 若上述值不存在，则使用对应数据库的DEFAULT CHARACTER SET设定值;
• 若上述值不存在，则使用character_set_server设定值。

可以理解的同时参考下面这幅图片
在这里插入图片描述
注：

查看Mysql字符集
show variables like '%char%';
修改字符集
set names 'gbk';相当于下面的三句命令
mysql> set character_set_client = gbk;
mysql> set character_set_results = gbk;
mysql> set character_set_connection = gbk;

实例

以sqli-labs的第32关为例
（1）输入’，被\转义

（2）输入%df
在这里插入图片描述
（3）分析执行过程

① id=%df%27，浏览器执行时会自动url解码一次，断点你就会发现
在这里插入图片描述
注：其实那个乱码的是希腊字母β

② 此时 $KaTeX parse error: Can’t use function ‘\” in math mode at position 39: …rs WHERE id=’1�\̲’̲’ LIMIT 0,1″`，接…$ sql转为16进制
（2）将16进制数转为url编码
（3）这里以GBK（内部操作字符集）进行url解码，执行sql语句
（4）以character_set_results编码输出结果
关键参数简单示意图：
%df%27 浏览器url自动解码===> β\' 转为16进制===> 0xdf0x5c0x27 转换为url编码===> %df%5c%27 进行url解码(因为是GBK编码，%df和%5c结合为汉字)===> 運'

注：%后面跟16进制数，就表示url编码

注：在以GBK为编码的mysql中
%df和%5c才可以结合为汉字，%df和\是无法结合的
例1：可结合
注：#注释后面的' LIMIT 0,1

例2：不可结合
在这里插入图片描述
\将'转义，使其失去了原本单引号的意义，只是一个没有灵魂的肉体（不能和左边的单引号闭合），因此id后面的第一个单引号就和最后一个单引号闭合了，也使得#注释符也失去了作用，因为''里的内容被视为了字符串。