宽字节注入——漏洞记录

最新推荐文章于 2026-03-06 10:19:38 发布
原创 最新推荐文章于 2026-03-06 10:19:38 发布 · 407 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#运维 #网络安全 #web service
本文详细介绍了宽字节注入的原理,指出当PHP编码格式与数据库编码格式不一致时,可能导致单引号闭合问题。通过%df等特殊字符,可以绕过转义,实现SQL注入。文中还展示了如何利用宽字节注入进行SQL查询,包括探测列数、查询数据库、表及字段,并给出了实际的注入语句示例。

宽字节注入

已知目标IP为:http://219.153.49.228:41742/new_list.php?id=1,加入单引号后页面并没有报错

加上%df,可以看到页面报错,说明是单引号闭合:

后面跟上正常sql注入语句即可,order by判断列数,为5时返回正常:

为6时,返回报错:

联合查询,看到3和5可利用:

查询当前数据库和用户:

查询表格:

查询stormgroup_member 表里的字段,注意,这里ABLE_NAME='stormgroup_member ',里的单引号也被过滤了,需要HEX编码:

爆出字段name,password内容,MD5解密即可:

什么是宽字节注入

1.原理

  • 何时使用:有些判断自动给输入的特殊字符前增加\ ,绕过他的方法就是宽字节注入。

  • 宽字节注入原理(以下两种说法意思是一致的)

  • 已知我们的提交数据会被加入\,\的编码为%5c,我们在前面加上%df后变为了%df%5c,变成一个繁体汉字運,变成了一个有多个字节的字符因为用了gbk编码,绕过了单引号闭合,逃逸了转义

  • PHP发送请求到mysql时经过一次gbk编码,PHP会将获取到的数据进行魔术引号的处理,因为GBK是双字节编码,所以我们提交的%df这个字符和转译的反斜杠组成了新的汉字,然后数据库处理的时候是根据GBK去处理的,然后单引号就逃逸了出来

  • 成立前提:只要PHP的编码格式和数据库的编码格式不同,特别是字符不同的编码就可能会造成。如PHP utf-8编码 数据库GBK编码知识点补充:GBK全称《汉字内码扩展规范》,gbk是一种多字符编码。他使用了双字节编码方案,因为双字节编码所以gbk编码汉字,占用2个字节。 一个utf-8编码的汉字,占用3个字节。

2.举例

  • id=1%df’ union select 1,2,3 — qwe 为了绕过转义,成功闭合

宽字节注入漏洞原理以及修复方法
it知识分享 free for nothing..
02-07 1623
宽字节注入漏洞原理以及修复方法
Web学习篇(一)
2201_75556700的博客
05-25 1334
(本文仅为学习记录,请不要做违法犯罪行为)
宽字节注入讲解-墨者学院(SQL注入漏洞测试(宽字节))
你们de4月天的博客
09-18 5683
宽字节注入原理讲解+墨者学院(SQL注入漏洞测试(宽字节))题目详解
帝国CMS系统最新注入漏洞来入侵-启示
就这点散事-工作笔记
04-15 3191
一、热身在 介绍这个漏洞之前,有必要先明白一个概念——宽字节注入宽字节注入是相对于单字节注入而言的。单字节注入就是大家平时的直接在带有参数ID的URL后面 追回SQL语句进行注入。比如:http://www.hackest.cn/article.php?id=1 and 1=1/*http://www.hackest.cn/article.php?id=1 and 1=2/*这个经典的判断目标是...
SQL注入教程——(四)宽字节注入
热门推荐
hijack89的博客
07-27 2万+
前言在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情况是magic_quote_gpc,不过高版本的PHP将去除这个特性。涉及到的基本概念 字符、字符集 字符(character)是组成字符集(character set)的基本单位。对字符赋予一个数值(en
宽字节注入和防御
weixin_30345577的博客
03-25 1571
0、前言 最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。 1、概述 主要是由于使用了宽字节编码造成的。,典型情景是网站使用GBK编码,...
Web安全】-【SQL注入】-宽字节注入
weixin_43960003的博客
03-03 4108
宽字节注入一般由于配置Mysql连接时使用了GBK编码导致。
报错注入宽字节注入测试真实网站步骤
a126976的博客
04-07 637
1.先输入1'判断是否存在漏洞,若产生报错,即代表很有可能存在漏洞,然后使用1 and 1=1,1 and 1=2,1' and '1' ='1,1' and '1'='2来判断注入类型(此判断和联合查询一样,但布尔盲注和时间盲注是另两种判断方式)这里补充一个函数:concat(),与前者group_concat不一样,是两种不同的作用,它的标准格式是concat(1,2,3),目的将这三个字符串无缝拼接起来。第二个参数代表所要查询的内容,前面的1和末尾的3不用深度理解,可以理解为拿来凑数的。
webug4.0 后面持续更新
uihijio的博客
06-18 319
第四关:post注入 打开网站 在搜索框中输入‘,之后报错 用bp抓包之后保存在本地 直接用sqlmap跑,跑数据库 sqlmap -r C:\Users\Administrator\Desktop\2.txt -p “keyWordName” --level=2 --dbs --batch 表名 sqlmap -r C:\Users\Administrator\Desktop\2.txt -p “keyWordName” --level=2 -D webug --tables --batch 字段名
sqlmap使用_sqlmap于sql labs下使用
weixin_39526415的博客
11-26 848
本文主要是写sqlmap在sql labs下的使用学习记录,目的在于模拟黑盒测试,不太在意原理。(当然,原理还是要学习好才这么干的。)不得不说收获还是蛮大的。首先推荐下sqlmap使用的学习视频。1-9:python sqlmap.py -u http://127.0.0.1/sqlilabs/Less-1/?id=1 --batch10:单独的sleep(5)不起效果,[http://127.0...
深入探究宽字节注入漏洞与修补原理
Exploit的小站~
05-10 2万+
 0、前言 最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。 1、概述 主要是由于使用了宽字节编码造成的。 什么是字符集? 计算机显...
mysql 南邮ctf_宽字节注入和防御(示例代码)
weixin_42282482的博客
02-07 415
0、前言最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。1、概述主要是由于使用了宽字节编码造成的。什么是字符集?计算机显示的字符图形与保存该字符时的二进制...
注入漏洞一把嗦(原理+步骤+防御)
Y22Lee的博客
03-21 1784
以csdn为例,除去请求头信息,剩下的都是Head信息,其中U-A是用户的基本信息,Referer是用户的请求来源。没有回显的注入,SQL注入中最繁琐;因为没有明确的回显,所以不能直观的得到数据。只能尝试测出数据。一般盲注分为布尔盲注和时间盲注。宽字节是指占俩个以上字节的字符,而一般的字符只占一个字节,被称作单字节(窄字节)。ASCII:单字节编码GBK,UTF-8:单字节/双字节编码(区别根据范围划分,范围与ASCII保持一致)英文通常是默认占用一个字节,而汉字占用俩个字节!
MySQL宽字节注入漏洞分析
HelloWeb2014的博客
03-07 8311
MySQL宽字节注入漏洞分析 By HelloWeb 2017-3-7 MySQL宽字节注入漏洞是SQL注入漏洞攻防技术相互促进的一个典型例子。 1 经典SQL注入漏洞 例子1是没有任何SQL注入防护措施的PHP程序,它存在SQL注入漏洞。 <?php $name=$_GET['name']; $conn=mysql_connect('localhost','root','roo
iwebsec靶场 SQL注入漏洞通关笔记2- 字符型注入宽字节注入
mooyuan的网络安全博客
11-26 4079
打开靶场,url为id=1如下所示本次渗透的关卡为字符型注入,其实总结来讲本关卡的难度相对而言作为第二关有些难度。通过源码再来分析下SQL注入重点内容:(1)闭合方式是什么?iwebsec的第02关关卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是宽字节注入,需要使用%df(3)是否过滤了关键字?很明显通过源码,iwebsec的字符型关卡无过滤任何信息。
sqli_labs闯关
weixin_45808483的博客
10-27 610
less-1 http://127.0.0.1/sqli-labs/Less-1/?id=1 // 加单引号,查看是否有注入 http://127.0.0.1/sqli-labs/Less-1/?id=1' //查看有多少列 http://127.0.0.1/sqli-labs/Less-1/?id=1' order by 3 --+ // 使id=-1报错,使用联合查找查看那些数据可以回显 http://127.0.0.1/sqli-labs/Less-1/?id=-1' union
sqli-labs-Less-41
最新发布
heze09的博客
03-06 27
结果如图所示,可以看到页面成功返回信息,我们就可以在回显位进行修改,以查找对应的数据库名、表名、列名及其他数据。这里如果想要查询其他的用户名与密码,可以修改where语句当中的id值,即id=2,3,4……这一关与上一关的注入方式类似,只是闭合方式有所不同。
PHP代码审计与绕过 (SQL 注入)
LYSHARK
02-07 1万+
有些为了业务需要他会把传入一些编码后的参数再解码带入数据库查询,常见的有base64编码,也有的程序会内置url解码,通常见于框架.代码中通过使用replace函数对MySQL的注释进行了一定程度的过滤,这相当于waf中的敏感字段过滤,该如何绕过呢?此处的负数就是让第一条语句失效,这样才能有空间输出第二条语句的结果,也就是输出version()的执行结果。简单的进行查询测试,此处的查询语句没有经过任何的过滤限制,所以呢你可以直接脱裤子了.此处我们构建的payload语句是这样的。
宽字节注入
骐骥一跃,不能十步;驽马十驾,功在不舍。
08-24 1383
〇、预备知识 首先列举几个常用的URL转码的字符 空格 %20 单引号 %27 # %23 \ %5C 一、原理 宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候,当设置“cha...
堆叠注入宽字节注入
十步不敢沙人的博客
03-12 932
堆叠与宽字节注入是如何攻击的?解析多语句执行及编码漏洞利用原理,剖析真实攻击链与高效防御策略,加固数据库安全壁垒!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chick&

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值