一、Mysql UTF-8编码
搭建环境
创建一个.php文件
<?php
$mysqli = new mysqli("localhost", "root", "123456", "security");
/* check connection */
if ($mysqli->connect_errno) {
printf("Connect failed: %s\n", $mysqli->connect_error);
exit();
}
$mysqli->query("set names utf8");
username = addslashes(_GET'username');
if ($username === 'admin') {
die('Permission denied!');
}
/* Select queries return a resultset */
sql = "SELECT \* FROM \`table1\` WHERE username='{username}'";
if (result = mysqli->query( $sql )) {
printf("Select returned %d rows.\n", $result->num_rows);
while (row = result->fetch_array(MYSQLI_ASSOC))
{
var_dump($row);
}
/* free result set */
$result->close();
} else {
var_dump($mysqli->error);
}
$mysqli->close();
在数据库中创建一张表
表中插入数据
这样环境就搭好了, 然后访问网页
当username=admin时就会被拒绝,但是当username≠admin时,又查询不了数据库
所以要想查询到数据库,就必须让username=admin,但是username=admin又会被拒绝,所以我们需要传递一个admin并带有字符的,让程序认为他不是admin,但是又可以让MySQL把那个字符放弃删除。
经过尝试发现%c2可以绕过,但是为什么呢?
这是因为%c2是一个特殊字符,MySQL在转换字符集的过程为,utf-8---->utf-8--->latin 1,但是在这个案例中实际上是utf-8---->utf-8--->utf-8,而latin 1只支持英文,因此在转换的过程中就抛出了错误,导致查出了username=admin的结果。
二、无字母数字webshell
首先在Ubuntu下的/usr/local/nginx/html中,创建一个web.php
访问网页
然后下一个上传文件的html文件
最后随便创建一个txt文件,编写内容
现在,使用burp suite进行抓包
发送到repeater下边
然后将红框内的数据放到web.php下
这里改为POST
然后就可以写get传参
但是 由于这里是get传参,要遵循url编码,所以要将空格,问号, @,分号进行转换
提交
在Linux下的/tmp中可以看到生成了一个临时文件
为进一步验证,可以在web.php下添加sleep,然后再次提交
然后再去查看这个临时文件是否存在
