文章为自我记录,相关原理还是得自己查呀
其中一点点内容转载于此文 sql注入绕过技巧
利用场景: 网站对客户端输入(传入的参数)的引号等字符进行了转义(转义之后这些符号就无效了,这些符号也不会成为代码的一部分了,你原先的注入就无效了)
网站数据库采用了gbk编码
gbk是双字节编码,ascii为单字节编码,所以宽字节注入的思路也就产生了—
加入%df 这样的编码,让系统转义加入的""符号被吃掉,这样的话就留下了你需要的单引号 ' 所以又可以按照原来的方法注入了
举个栗子:传入参数id=1' or 1=1--+ 进行试探
失败:id=1\' or 1=1--+
但是我们这样传入参数 id=1%df' or 1=1--+
就可以了:id=1[]' or 1=1--+ []是一个奇怪的gbk编码的字符 注入成功
练习一下
sqli-labs Less33 bypass Addslashes()
Addslashes()是用来将字符串中的预定义字符(单引号,双引号,反斜杠等)转义的
然后要走流程测试
1.?id=1'
此处给出了hint:输入的1’被转义成了1’ ,十六进制是315C27 也就是多了5C 联想宽字节注入
2.进行宽字节的绕过
?id=1%df'
有报错了
3.因为出现了报错,所以可以使用报错注入,之前提到的xpath报错注入,也可以union联合注入,拿到库名,表名,字段名…
然后中间小白又遇到问题了,如何绕过单引号什么的???可以用16进制编码绕过,网上搜方法(面向搜索引擎):利用16进制的话就不需要输入引号啦
会使用到引号的地方一般是在最后的where子句中。如下面的一条sql语句,这条语句就是一个简单的用来查选得到users表中所有字段的一条语句:
select column_name from information_schema.tables where table_name="users"
这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
users的十六进制的字符串是7573657273。那么最后的sql语句就变为了:
select column_name from information_schema.tables where table_name=0x7573657273
比如users转16进制为7573657273,记得加上标志0x~~