首页 > 其他分享 >最新宽字节注入攻击和代码分析技术

最新宽字节注入攻击和代码分析技术

时间:2024-03-12 14:47:32浏览次数:25  
标签:语句 字节 代码 limit table schema id select 注入

宽字节注入攻击

宽字节注入攻击的测试地址在本书第2章。

访问id=1',页面的返回结果如图4-51所示,程序并没有报错,反而多了一个转义符(反斜杠)。 

 

 

图4-51  

 

从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的。当传入id=1'时,传入的单引号又被转义符(反斜杠)转义,导致参数ID无法逃出单引号的包围,所以一般情况下,此处是不存在SQL注入漏洞的。不过有一个特例,就是当数据库的编码为GBK时,可以使用宽字节注入。宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功“逃逸”,报出MySQL数据库的错误,如图4-52所示。

 

 

 

图4-52  

 

由于输入的参数id=1',导致SQL语句多了一个单引号,所以需要使用注释符来注释程序自身的单引号。访问id=1%df'%23,页面返回的结果如图4-53所示,可以看到,SQL语句已经符合语法规范。

 

 

 

图4-53  

 

使用and 1=1和and 1=2进一步判断注入,访问id=1%df' and 1=1%23和id=1%df' and 1=2%23,返回结果分别如图4-54和图4-55所示。

  

 

图4-54  

 

图4-55  

 

当and 1=1程序返回正常时,and 1=2程序返回错误,判断该参数ID存在SQL注入漏洞,接着使用order by查询数据库表的字段数量,最后得知字段数为5,如图4-56所示。

  

图4-56  

 

因为页面直接显示了数据库中的内容,所以可以使用Union查询。与Union注入一样,此时的Union语句是union select 1,2,3,4,5,为了让页面返回Union查询的结果,需要把ID的值改为负数,结果如图4-57所示。

 

图4-57  

 

然后尝试在页面中2的位置查询当前数据库的库名(user()),语句如下:

id=-1%df' union select 1,user(),3,4,5%23

返回的结果如图4-58所示。 

 

图4-58  

 

查询数据库的表名时,一般使用以下语句:

select table_name from information_schema.tables where table_schema='test' limit 0,1

此时,由于单引号被转义,会自动多出反斜杠,导致SQL语句出错,所以此处需要利用另一种方法:嵌套查询。就是在一个查询语句中,再添加一个查询语句,更改后的查询数据库表名的语句如下:

select table_name from information_schema.tables where table_schema=(select database()) limit 0,1

可以看到,原本的table_schema='test'变成了table_schema=(select database()),因为select database()的结果就是'test',这就是嵌套查询,结果如图4-59所示。

 

图4-59 

 

从返回结果可以看到,数据库的第一个表名是users,如果想查询后面的表名,则需要修改limit后的数字,这里不再重复。使用以下语句尝试查询users表里的字段:

select column_name from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1) limit 0,1

这里使用了三层嵌套,第一层是table_schema,它代表库名的嵌套,第二层和第三层是table_name的嵌套。可以看到,语句中有两个limit,前一个limit控制表名的顺序,后一个limit则控制字段名的顺序。如果这里查询的不是emails表,而是users表,则需要更改limit的值。如图4-60所示,后面的操作与Union注入相同,这里不再重复。

 

图4-60

 



宽字节注入代码分析

在宽字节注入页面中,程序获取GET参数ID,并对参数ID使用addslashes()转义,然后拼接到SQL语句中,进行查询,代码如下:

<?php    $con=mysqli_connect("localhost","root","123456","test");    if (mysqli_connect_errno())    {    echo "连接失败: " . mysqli_connect_error();    }    mysqli_query($con, "SET NAMES 'gbk'");

    $id = addslashes($_GET['id']);    $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";    $result = mysqli_query($con, $sql) or die(mysqli_error($con));     $row = mysqli_fetch_array($result);

if($row){       echo $row['username']. " : " . $row['address'];   }else {    print_r(mysqli_error($con));}              echo "<br>The Query String is : ".$sql ."<br>";?>

当访问id=1'时,执行的SQL语句如下:

SELECT * FROM users WHERE id='1\''

可以看到,单引号被转义符“\”转义,所以在一般情况下,是无法注入的。由于在数据库查询前执行了SET NAMES 'GBK',将数据库编码设置为宽字节GBK,所以此处存在宽字节注入漏洞。

在PHP中,通过iconv()进行编码转换时,也可能存在宽字符注入漏洞。

 

 

 

Ms08067安全实验室专注于网络安全知识的普及和培训,是专业的“图书出版+培训”的网络安全在线教育平台,专注于网络安全领域中高端人才培养。

 

平台已开设Web安全零基础就业,Web高级安全攻防进阶,红队实战攻防特训,Java代码安全审计,恶意代码分析与免杀实战,CTF基础实战特训营,网络安全应急响应,安全工具开发,AI与网络安全等系统培训课程。实验室出版安全图书《Web安全攻防:渗透测试实战指南》、《内网安全攻防:渗透测试实战指南》、《Python安全攻防:渗透测试实战指南》、《Java代码审计:入门篇》等。

 

扫描客服微信 获取更多课件+学习资料

标签:语句,字节,代码,limit,table,schema,id,select,注入
From: https://www.cnblogs.com/ms08067/p/18068253

相关文章

  • 代码随想录算法训练营第七天| 454. 四数相加 II 383. 赎金信
    454.四数相加IIhttps://leetcode.cn/problems/4sum-ii/description/、publicintfourSumCount(int[]nums1,int[]nums2,int[]nums3,int[]nums4){intres=0;HashMap<Integer,Integer>map=newHashMap<>();for(inti:nu......
  • 傅里叶变换算法和Python代码实现
    傅立叶变换是物理学家、数学家、工程师和计算机科学家常用的最有用的工具之一。本篇文章我们将使用Python来实现一个连续函数的傅立叶变换。我们使用以下定义来表示傅立叶变换及其逆变换。设f:ℝ→ℂ是一个既可积又可平方积分的复值函数。那么它的傅立叶变换,记为f̂,是由以......
  • Qt quint16 高低字节 quint8
    在C++中,将一个quint16(即无符号16位整数)拆分成高字节和低字节可以通过位运算来完成。quint16通常是通过Qt的数据类型quint16来表示的。以下是一个示例代码,演示如何将quint16拆分成高低字节:1#include<QtGlobal>2#include<iostream>34intmain(){5qu......
  • 代码生成器之如何快速生成后端接口?
    前言在现代软件开发中,重复性的增删改查逻辑代码的编写往往非常耗时且容易出错。为了提高开发效率,减少手动维护的成本,代码生成器就成为了一个非常重要的工具,本文小编就将为大家介绍一下如何利用一个开源项目快速生成数据接口。实现方式环境准备技术栈:Java,Spring-Boot,MyBatisPlu......
  • 代码随想录算法训练营第六天| 242. 有效的字母异位词
    242.有效的字母异位词https://leetcode.cn/problems/valid-anagram/description/publicbooleanisAnagram(Strings,Stringt){char[]sChar=s.toCharArray();char[]tChar=t.toCharArray();Arrays.sort(sChar);Arrays.sort(tChar......
  • python代码小题
    习题一:逻辑运算=>输入三角形的3边,如果两边的长度大于第三条边,则代表是一个合法三角形#a=float(input("边长1="))#b=float(input("边长2="))#c=float(input("边长3="))#print(a+b>canda+c>bandb+c>a) 习题二:期末考试结束了,根据学员成绩求学员等级:90分及以上则......
  • R语言GARCH族模型:正态分布、t、GED分布EGARCH、TGARCH的VaR分析股票指数|附代码数据
    全文链接:http://tecdat.cn/?p=31023最近我们被客户要求撰写关于GARCH族模型的研究报告,包括一些图形和统计输出。如何构建合适的模型以恰当的方法对风险进行测量是当前金融研究领域的一个热门话题 ( 点击文末“阅读原文”获取完整代码数据******** )。VaR方法作为当前业内比较......
  • Java高并发讲解:守护线程——在源代码中分析setDaemon()
    Java高并发讲解:守护线程——在源代码中分析setDaemon()提出问题我们都知道Java线程分为主线程和守护线程,守护线程是需要手动指定的(setDaemon(true)......
  • 【Python使用】python高级进阶知识md总结第3篇:静态Web服务器-返回指定页面数据,静态We
    python高级进阶全知识知识笔记总结完整教程(附代码资料)主要内容讲述:操作系统,虚拟机软件,Ubuntu操作系统,Linux内核及发行版,查看目录命令,切换目录命令,绝对路径和相对路径,创建、删除文件及目录命令,复制、移动文件及目录命令,终端命令格式的组成,查看命令帮助。HTTP请求报文,HTTP响应报文......
  • 代码随想录算法训练营第四十一天 | 416. 分割等和子集,● 01背包问题,你该了解这些! 滚
     46.携带研究材料(第六期模拟笔试)时间限制:5.000S空间限制:128MB题目描述小明是一位科学家,他需要参加一场重要的国际科学大会,以展示自己的最新研究成果。他需要带一些研究材料,但是他的行李箱空间有限。这些研究材料包括实验设备、文献资料和实验样本等等,它们各自占据......