今天我们来讲一讲mysql宽字节绕过注入。老规矩,我们先来了解一下什么情况下用它。
在mysql中有一个叫魔术引号的开关,phpstudy在php配置中叫magic_quotes_gpc,(它跟addslashes()的作用完全相同,也就是说addslashes()也可以使用宽字节绕过注入):
魔术引号是在接受的单引号、双引号、反斜线、NULL前加上一个反斜线进行转义。
(可以参考这篇文章:https://www.cnblogs.com/huyihao/p/6217801.html)
那它对我们的注入有什么影响呢?举个例子(如下图):
所以说这就大大的影响了我们的注入。
下面我们做两个小实验,来看看影响到底有多。第一个实验还是这个语句:
http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=2' and 1=1--+
我们看看开前和开后的差别。
开前:
开后:
我们发现浏览器两次回显的结果是一样的,这是什么情况?难道我们之前讲的不正确?其实不是,来我们再来分析一下(如图):
大家有没有感觉这东西有点眼熟,这个东西我们在《网络安全菜鸟学习之漏洞篇——sql(一)》讲到过。(如图,没影响的可以回去翻翻,可以打开那个链接再学习学习)
同样的道理我们这里还是等于执行了$sql=“SELECT * FROM users WHERE id=‘2’ LIMIT 0,1”;
可能还有同学有点晕,可以这样理解它只管前面的。哪怕写成西瓜:
`$sql=“SELECT * FROM users WHERE id=‘2西瓜’ LIMIT 0,1”;`
只要是字符串,它还是等于$sql=“SELECT * FROM users WHERE id=‘2’ LIMIT 0,1”
(另外提一点,这也是检验是否是注入点的一种方法:加一堆无用字符,网页回显正常证明不是注入点。)
其实我们想对我们之前讲的进行验证可以用echo函数,具体步骤如下(echo函数是用来回显的,可以简单的理解成C语言中的printf、python中的print之类)
1.打开网站根目录
2.进入sqli-labs-master中的Less-1文件夹
3.打开index.php,并在如下图的地方添加一句echo $sql;(我是用EditPlus打开的,记事本也可以打开)
好了我们这回再访问http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=2' and 1=1--+就可以看到我们到底执行了什么语句。来,我们来看一下。
开启前:
开启后:
顺便再看看西瓜:
第一个实验完成,我们来进行第二个实验,这个实验目的是看看它的影响。(毕竟前面的看不出来)我们访问的地址是:http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=-2' union select 1,database(),3--+
开启前:
开启后:
现在我们就很明显看得出影响了。
好了,讲完了魔术引号的原理现在开始讲宽字节绕过注入的原理和使用。
其实讲了魔术引号,这个的原理大家猜都猜得出来。说简单点魔术引号会加\,那我们就想办法让它加的\没用就行了。宽字节绕过注入就是用一个两个字节的东西覆盖掉后面的\,看一下下面这张图就可以很容易理解。(这样理解好理解,但跟准确的说法是MySQL在使用GBK编码的时候,会认为两个字符是一个汉字。当然有个前提条件前一个ASCII码要大于128,才到汉字的范围)
我们一般是用%df来进行宽字节注。例如:
http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=-2%df%27%20union%20select%201,database(),3--+
注:用第一关做宽字节的话,要加一句mysql_query(“SET NAMES gbk”);不加的话默认就会变成utf8,哪怕在怕phpstudy的端口常规设置中修改为GBK编码也不行。(我在网上找了很多文章都没有提到这点,我也是问别人才知道的)
具体的修改步骤如下图:
1.打开网站根目录
2.进入sqli-labs-master中的Less-1文件夹
3.打开index.php,并在如下图的地方添加一句mysql_query(“SET NAMES gbk”);
值得注意的PHP 在4以上时magic_quotes_gpc将不再被使用,但还是有addslashes()。
(ps:求各位看官给点评论和关注)