Web网络安全解析宽字节注入攻击原理

目录
  • 宽字节注入攻击
  • 宽字节注入代码分析

宽字节注入攻击

宽字节注入攻击的测试地址:http://127.0.0.1/sqli/kuanzijie.php?id=1。

访问id=1',页面返回的结果如图46所示,程序并没有报错,反而多了一个转义符(反斜杠)。

图46 单引号被转义

从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的。当传入id=1'时,传入的单引号又被转义符(反斜杠)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在SQL注入漏洞的。不过有一个特例,就是当数据库的编码位GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号逃逸成功,报出MySQL数据库的错误,如图47所示。

图47 利用宽字节逃逸单引号的包围

由于输入的参数id=1',导致SQL语句多了一个单引号,所以需要使用注释符来注释程序自身的单引号。访问id=1%df'--+,页面返回的结果如图48所示,可以看到,SQL语句已经符合语法规范。

图48 利用注释符注释单引号

使用and 1=1和and 1=2进一步判断注入,访问id=1%df' and 1=1--+和id=1%df' and 1=2--+,返回结果如图49和图50所示。

图49 访问id=1%df' and 1=1--+时页面的结果

图50 访问id=1%df' and 1=2--+时页面的结果

当and 1=1程序返回正常时,and 1=2程序返回错误,所以判断该参数ID存在SQL注入漏洞,接着使用order by查询数据库表的字段数量,最后得知字段数为3,如图51所示。

图51 获取数据库表的字段数

因为页面直接显示了数据库中的内容,所以可以使用Union注入。与Union注入一样,此时的Union语句是union select 1,2,3--+,为了让页面返回Union查询的结果,需要把ID的值改为负数,结果如图52所示。

图52 结合Union注入

然后尝试在页面中2的位置查询当前数据库的库名(database()),语句为:

id=-1%df' union select 1,database(),3--+

返回的结果如图53所示。

图53 获取database()

查询数据库的表名时,一般使用一下语句。

id=-1%df' union select 1,(select table_name from information_schema.tables where table_schema='sql' limit 0,1),3--+

但是此时,由于单引号被转义,会自动多出反斜杠,导致SQL语句出错,所以此处需要利用另一种方法:嵌套查询。就是在一个查询语句中,再添加一个查询语句,下列就是更改后的查询数据库表名的语句。

id=-1%df' union select 1,(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1),3--+

可以看到,原本的table_schema=‘sql'变成了table_schema=(select database()),因为select database()的结果就是'sql',这就是嵌套查询,结果如图54所示。

图54 获取数据库的表名

从返回结果可以看到,数据库的第一个表名时emails,如果想查询后面的的表名,还需要修改limit后面的数字,这里不再重复。使用以下语句尝试查询emails表里的字段。

id=-1%df' union select 1,(select column_name from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1) limit 0,1),3--+

这里使用了三层嵌套,第一层时table_schema,它代表库名的嵌套,第二层可第三层时table_name的嵌套。我们可以看到语句中有两个limit,前一个limit控制表名的顺序。如这里查询的不是emails表,而是users表,则需要更改limit的值。如图55所示,后面的操作如Union注入所示,这里不再重复。

图55 获取数据库字段名

宽字节注入代码分析

在宽字节注入页面中,程序获取GET参数ID,并对参数ID使用addslashes()转义,然后拼接到SQL语句中,进行查询,代码如下。

<?php
error_reporting(~E_WARNING);
$conn = mysqli_connect("localhost","root","root","test");
// 检测连接
if (mysqli_connect_errno())
{
    echo "连接失败: " . mysqli_connect_error();
}
mysqli_select_db($conn,'test') OR emMsg("数据库连接失败");
mysqli_query($conn,"SET NAMES 'gbk'");
$id = addslashes(@$_GET['id']);
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result = mysqli_query($conn,$sql);
$row = mysqli_fetch_array($result);
if($row)
{
    echo $row['username'] ." : ". @$row['password'];
}
else
{
    echo mysqli_error($conn);
}
?>
</font>
<?php
echo "<br>The Query String is : ".$sql ."<br>";

?>

当访问id=1'时,执行的SQL语句为:

select * from users where id='1\''

可以看到单引号被转义符“\”转义,所以在一般情况下,是无法注入的,但由于在数据库查询前执行了SET NAMES ‘GBK',将编码设置为宽字节GBK,所以此处存在宽字节注入漏洞。

在PHP中,通过iconv()进行编码转换时,也可能存在宽字符注入漏洞。

以上就是Web网络安全解析宽字节注入攻击原理的详细内容,更多关于Web网络安全宽字节注入攻击的资料请关注我们其它相关文章!

(0)

相关推荐

  • Web网络安全分析二次注入攻击原理详解

    目录 二次注入攻击 二次注入代码分析 二次注入攻击 二次注入攻击的测试地址:http://127.0.0.1/sqli/double1.php?username=test 和 http://127.0.0.1/sqli/double2.php?id=1. 其中,double1.php页面的功能是注册用户名,也是插入SQL语句的地方:double2.php页面的功能是通过参数ID读取用户名和用户信息. 第一步,访问double1.php?username=test',如图40所示. 图40 注册用

  • Web安全解析报错注入攻击原理

    目录 1.报错注入攻击 2.报错注入代码分析 1.报错注入攻击 报错注入攻击的测试地址:http://127.0.0.1/sqli/error.php?username=1. 访问该网址时,页面返回ok,如图28所示. 图28 访问username=1时页面的的结果 访问http://127.0.0.1/sqli/error.php?username=1',因为参数username的值是1',在数据库中执行SQL时,会因为多了一个单引号而报错,输出到页面的结果如图29所示. 图29 访问user

  • Web安全之XSS攻击与防御小结

    Web安全之XSS攻防 1. XSS的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. 2. XSS的原理 攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码). 诱使受害者打开受到攻击的服务器URL. 受害者在Web浏览器中打开URL,恶意脚本执行. 3. XSS的攻击方式 (1)反射型: 发出请求时,XSS代码出现在U

  • Web安全解析Boolean注入攻击原理

    目录 1. Boolean注入攻击 2. Boolean注入代码分析 1. Boolean注入攻击 Boolean注入攻击的测试地址:http://127.0.0.1/sqli/boolean.php?id=1. 访问该网站时,页面返回yes,如图19所示. 图19 访问id=1时页面的结果 在URL后添加一个单引号,再次访问,发现返回结果由yes变成no,如图20所示. 图20 访问id=1'时页面的结果 访问id=1' and 1=1%23,id=1' and 1=2%23,发现返回的结果分

  • Web网络安全分析Union注入攻击原理详解

    目录 1.Union注入攻击 2.Union注入代码分析 1.Union注入攻击 Union注入攻击的测试地址:http://127.0.0.1/sqli/union.php?di=1. 访问该网址时,页面返回的结果如图6所示. 图6 访问id=1时页面的结果 在URL后添加一个单引号,再次访问,如图7所示,页面返回结果与id=1的结果不同. 图7 访问id=1'时页面的结果 访问id=1 and 1=1,由于and 1=1为真,所以页面应返回与id=1相同的结果,如图8所示.访问id=1 an

  • 详解常见web攻击手段

    目录 Web攻击 一.XSS 攻击 1.攻击原理 2.防护手段 二.CSRF 攻击 1.攻击原理 2.防护手段 三.SQL 注入攻击 1.攻击原理 2.防护手段 四.文件上传漏洞 五.DDOS攻击 1.攻击原理 2.DDoS分类 Web攻击 在互联网中,攻击手段数不胜数,我们平时不能以自己只是普通的开发程序员而不是安全方向的开发者为理由,而不去掌握基本的 Web 攻击手段!我们来熟悉一下有哪几种常见的 Web 攻击手段 常见的 Web 攻击手段主要有 XSS 攻击.CSRF 攻击.SQL 注入攻

  • Web网络安全解析宽字节注入攻击原理

    目录 宽字节注入攻击 宽字节注入代码分析 宽字节注入攻击 宽字节注入攻击的测试地址:http://127.0.0.1/sqli/kuanzijie.php?id=1. 访问id=1',页面返回的结果如图46所示,程序并没有报错,反而多了一个转义符(反斜杠). 图46 单引号被转义 从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的.当传入id=1'时,传入的单引号又被转义符(反斜杠)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在SQL注入漏洞的.不过有一个特

  • Web网络安全分析堆叠查询注入攻击原理

    目录 1.堆叠查询注入攻击 2.堆叠准入代码分析 1.堆叠查询注入攻击 堆叠查询注入攻击的测试地址:http://127.0.0.1/sqli/duidie.php?id=1. 堆叠查询可以执行多条语句,多语句之间以分好隔开.堆叠查询注入就是利用这个特点,在第二个SQL语句中构造自己要执行的语句.首先访问id=1',页面返回MySQL错误,在访问id=1'--+,页面返回正常的结果.这里可以使用Boolean注入.时间注入,也可以使用另一种注入方式--堆叠注入. 堆叠注入的语句为: ';sele

  • Web网络安全分析存储型XSS攻击漏洞原理

    目录 存储型XSS攻击 存储型XSS代码分析 存储型XSS攻击 存储型XSS页面实现的功能是:获取用户输入的留言信息.标题和内容,然后将标题和内容插入到数据库中,并将数据库的留言信息输出到页面上,如图71所示. 图71 输入留言信息 当用户在标题处写入1,内容处写入2时,数据库中的数据如图72所示. 图72 保存留言信息到数据库 当输入标题为<img src=X οnerrοr="alert(/xss/)"/>.然后将标题输出到页面时,页面执行了<img src=X

  • SQL注入宽字节注入由浅到深学习

    目录 前言 基础知识 宽字节 宽字节注入 例子 例题一 例题二 SQLMAP应用 结语 前言 突然想起来之前讲SQL注入时忘记讲一下这个宽字节注入了,因为这个知识点还是挺重要的,所以本文就带大家了解一下宽字节注入的原理以及应用方法,下面由我来给大家详细讲解一下. 基础知识 宽字节 在了解宽字节注入之前,我们要了解一下什么是宽字节,相对于单字节,我们引入一个字符数大小为两个字节的为宽字节,比如GBK编码,我们汉字通常使用的就是GBK编码,也就是说一次性会读取两个字节. 宽字节注入 产生宽字节注入的

  • Web网络安全解析cookie注入攻击原理

    目录 cookie注入攻击 cookie注入代码分析 cookie注入攻击 cookie注入攻击的测试地址:http://127.0.0.1/sqli/cookie.php. 发现URL中没有GET参数,但是页面返回正常,使用Burp Suite抓取数据包,发现cookie中存在id=1的参数,如图56所示. 图56 cookie数据 修改cookie中的id=1为id=1',然后再次访问该URL,发现页面返回错误.接下来,分别修改cookie中id=1 and 1=1和id=1 and 1=2

  • Web网络安全分析时间注入攻击原理

    目录 SQL注入进阶 1.时间注入攻击 2.时间注入代码分析 SQL注入进阶 1.时间注入攻击 时间注入攻击的测试地址:http://127.0.0.1/sqli/time.php?id=1. 访问该网站时,页面返回yes,在网址的后面加上一个单引号,再次访问,页面返回no.这个结果与Boolean注入非常相似,这里介绍另一种注入方法--时间盲注.它与Boolean注入的不同之处在于,时间注入是利用sleep()或benchmark()等函数让MySQL的执行时间变长.时间盲注多与IF(expr

随机推荐