sql宽字节简介

发表于

宽字节注入其实在SQL注入是一个比较常见的注入,但是有时候很长时间没有遇到宽字节注入,突然出现了一个宽字节注入,就是返回去翻资料,还不如自己写篇文章记录一下。宽字节的注入,sqlmap也是无法识别出来的。
需要说明的是,本文的资料主要是来自于P神的浅析白盒审计中的字符编码及SQL注入,只是对其中内容稍有修改。

简介

在将sql宽字节注入之前,需要对字符编码有所了解,常见的gbkutf-8unicode编码,但这不是本文的重点,如果想详细了解字符编码的知识,可以参考文章,这篇文章应该说明得很清楚。
本质上sql的宽字节注入就是使用mysql进行SQL查询时,用错了gbkutf-8的编码而导致出现的问题。通常来说,一个GBK编码的汉字占用2个字节,一个utf8的汉字占用3个字节。这样也可以换个说法,当使用GBK编码时,是将2个字节解释为一个汉字,当使用的是utf8的编码时,是将3个字节解释为一个汉字。
以上这就是宽字节注入的背景知识了。

实例代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
    //连接数据库部分,注意使用了gbk编码
    $conn = mysql_connect('localhost', 'root', 'root') or die('bad!');
    mysql_query("SET NAMES 'gbk'");
    mysql_select_db('test', $conn) OR emMsg("连接数据库失败,未找到您填写的数据库");
    //执行sql语句
    $id = isset($_GET['id']) ? addslashes($_GET['id']) : 1;
    $sql = "SELECT * FROM news WHERE tid='{$id}'";
    $result = mysql_query($sql, $conn) or die(mysql_error());
?>
<!DOCTYPE html>
<html>
<head>
    <title>新闻</title>
    <meta http-equiv="Content-Type" content="text/html; charset=gbk" />
</head>
<body>
<?php
    $row = mysql_fetch_array($result, MYSQL_ASSOC);
    echo "<h2>{$row['title']}</h2><p>{$row['content']}<p>\n";
    mysql_free_result($result);
?>
</body>
</html>

SQL 语句是 SELECT * FROM news WHERE tid='{$id}',就是根据文章的 id 把文章从
news 表中取出来。其中{$id},表示会解析$id的内容,同时还在外外面加上'',因为这是一个字符串的查询。
在查询之前存在addslashes()函数,此函数主要使用对单引号(’)、双引号(”)、反斜线(\)与 NUL(NULL 字符)进行转义,这样用户输入的单引号就无用了。如下所示:

可以看出,在加了'之后,对最后的结果没有影响。
为什么会这样呢?在两种情况下的,SQL注入语句分别为:

1
2
SELECT * FROM news WHERE tid='1'
SELECT * FROM news WHERE tid='1\''

通过转义符\'进行转义,所以对结果没有影响。

逃逸addslashes

那么怎么逃过 addslashes 的限制?众所周知 addslashes 函数产生的效果就是,让’变成’\’,
让引号变得不再是“单引号”,只是一撇而已。一般绕过方式就是,想办法处理\’前面的\:

  1. 想办法给\前面再加一个’\’(或单数个即可),变成\\' ,这样\被转义了,'逃出了限制
  2. 想办法把\弄没有。

而宽字节注入的方式就是消除掉\。上面的代码中使用的是GBK编码,意味着是将2个字节看成一个汉字。如果我们传入的id为%df',结果为:

分析出现这个错误的原因。
输入了%df'会被addslashes转义为%df\'\的hex编码为5c,最后就会变为%df%5c'。因为gbk编码认为2个字节是一个汉字,所以%df%5c就被解释为'就逃逸出来了。最后SQL语句就变为:

1
SELECT * FROM news WHERE tid='運''

这样就会报错了,这就是一个简单的SQL注入的原理。
需要说明的是,本文是从P神的文章那里大量复制过来的,仅仅是为了记录和学习。如果相对宽字节注入更深层次的了解,可以去看P神的原文浅析白盒审计中的字符编码及SQL注入

注入拿数据

在消灭了\之后,就可以通过进行SQL注入拿到数据了。
以上面的代码为例来进行说明,最终的payload为

1
-1%df' union select 1,2,flag from flag%23

这样最终执行的SQL注入语句为:

1
SELECT * FROM news WHERE id='-1運' union select 1,2,flag from flag#'

但是出现了如下的问题:

这样应该是编码的问题,将flag使用hex编码一下。
最终使用-1%df' union select 1,2,hex(flag) from flag%23

参考

浅析白盒审计中的字符编码及SQL注入 https://www.leavesongs.com/PENETRATION/mutibyte-sql-inject.html