宽字节注入原理分析

发布时间:2023-10-21 14:00

什么是宽字节?

如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节

  • 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节,也就是只有两字节
  • 英文默认占一个字节,中文占两个字节

什么是宽字节注入?

原理:宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。在使用PHP连接MySQL的时候,当设置“character_set_client = gbk”时会导致一个编码转换的问题,也就是我们熟悉的宽字节注入

宽字节注入是利用mysql的一个特性,mysql在使用GBK编码(GBK就是常说的宽字节之一,实际上只有两字节)的时候,会认为两个字符是一个汉字(前一个ascii码要大于128,才到汉字的范围)

GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),例如%df和%5C会结合;GB2312是被GBK兼容的,它的高位范围是0xA1-0xF7,低位范围是0xA1-0xFE(0x5C不在该范围内),因此不能使用编码吃掉%5c

常见转义函数与配置:addslashes、mysql_real_escape_string、mysql_escape_string、php.ini中magic_quote_gpc的配置

Mysql相关知识

Mysql中有个连接层,何为连接层?
在MYSQL中,有一个中间层的结构,负责客户端和服务器之间的连接,称为连接层
交互的过程如下:
(1)客户端(这里指php)以某种字符集生成的SQL语句发送至服务器端(这里指Mysql),这个“某种字符集”其实是任意规定的,PHP作为客户端连接MYSQL时,这个字符集就是PHP文件默认的编码。
(2)服务器(Mysql)会将这个SQL语句转为连接层的字符集。问题在于MYSQL是怎么知道我们传过来的这个SQL语句是什么编码呢?这时主要依靠两个MYSQL的内部变量来表示,一个是character_set_client(客户端的字符集)和character_set_connection(连接层的字符集)。
(3)总的来说,就是php把sql语句传给mysql时,要转换character_set_connection字符集的编码,执行流程就是:将php的sql语句以character_set_client编码(也就是转为16进制数),再将16进制数以character_set_connection进行编码(也就是转换为url编码),然后以内部操作字符集进行url解码,最后以character_set_results编码输出结果
内部操作字符集怎么确定?进行内部操作前将请求数据从character_set_connection转换为内部操作字符集,其确定方法如下:
• 使用每个数据字段的CHARACTER SET设定值;
• 若上述值不存在,则使用对应数据表的DEFAULT CHARACTER SET设定值(MySQL扩展,非SQL标准);
• 若上述值不存在,则使用对应数据库的DEFAULT CHARACTER SET设定值;
• 若上述值不存在,则使用character_set_server设定值。

可以理解的同时参考下面这幅图片
宽字节注入原理分析_第1张图片
注:

  • 查看Mysql字符集
    show variables like '%char%';
    宽字节注入原理分析_第2张图片
  • 修改字符集
    set names 'gbk';相当于下面的三句命令
    mysql> set character_set_client = gbk;
    mysql> set character_set_results = gbk;
    mysql> set character_set_connection = gbk;

实例

以sqli-labs的第32关为例
(1)输入’,被\转义
宽字节注入原理分析_第3张图片
(2)输入%df
宽字节注入原理分析_第4张图片
(3)分析执行过程

① id=%df%27,浏览器执行时会自动url解码一次,断点你就会发现
宽字节注入原理分析_第5张图片
注:其实那个乱码的是希腊字母β

② 此时KaTeX parse error: Can't use function '\'' in math mode at position 39: …rs WHERE id='1�\̲'̲' LIMIT 0,1"`,接…sql转为16进制
(2)将16进制数转为url编码
(3)这里以GBK(内部操作字符集)进行url解码,执行sql语句
(4)以character_set_results编码输出结果
关键参数简单示意图:
%df%27 浏览器url自动解码===> β\' 转为16进制===> 0xdf0x5c0x27 转换为url编码===> %df%5c%27 进行url解码(因为是GBK编码,%df和%5c结合为汉字)===> 運'

注:%后面跟16进制数,就表示url编码

注:在以GBK为编码的mysql中
%df和%5c才可以结合为汉字,%df和\是无法结合的
例1:可结合
注:#注释后面的' LIMIT 0,1
宽字节注入原理分析_第6张图片
例2:不可结合
在这里插入图片描述
\将'转义,使其失去了原本单引号的意义,只是一个没有灵魂的肉体(不能和左边的单引号闭合),因此id后面的第一个单引号就和最后一个单引号闭合了,也使得#注释符也失去了作用,因为''里的内容被视为了字符串。

参考

https://blog.csdn.net/u011721501/article/details/42874517
https://blog.csdn.net/william_munch/article/details/100037244
https://www.lstazl.com/666-2/

注:
URL编码的解码(GBK)
查看字符编码(简体中文)-----GBK内码查询

ItVuer - 免责声明 - 关于我们 - 联系我们

本网站信息来源于互联网,如有侵权请联系:561261067@qq.com

桂ICP备16001015号