渗透测试系统学习-Day10

宽字节注入

1.什么是魔术引号

我们现在要了解一个PHP的防御函数

magic_quotes_gpc() 魔术引号开关

magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据，如包括有：post，get，cookie过来的数据增加转义字符""以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误。

单引号(')

双引号(")

反斜线()

......

这些字符都会被加上反斜线

magic_quotes_gpc的作用：当PHP的传参有特殊字符就会在前面加转义字符''来做一些过滤

单引号和双引号内的一切都是字符串，那我们输入的东西如果不能闭合掉单引号和双引号，我们的输入就不会被当做代码执行，就无法产生SQL注入，那我们该怎么办？

低版本：修改配置文件然后强制执行 php.ini文件

高版本：删除掉了这个配置，通过特定的函数使用

5.4版本以上被取消了，把安全编码交给了用户自己，从而避免了magic_quotes_gpc未设置，用户依赖这个设置而带来了安全隐患。

替代函数：addslashes()

模式引号：不让闭合

绕过方法：

1.不需要闭合 select* from news where id=1

2.仔细查看作用域(影响范围) $_SERVER 非GET POST Cookie传参

3.宽字节注入

2.什么是GBK编码格式？

GBK字符集可以看作是GB2312字符集的扩展，兼容了GB2312字符集，共收录了20000多个汉字。GBK中的k是汉语拼音Kuo Zhan（扩展）中的“Kuo”的首字母。

多字符编码 => 多个字符组在一起成为一个汉字

GBK = 双字节编码 ASCII = 单字节编码

编码不同会有歧义

关于更多的编码方式，在我有一篇讨论MySQL为什么用utfmb4而不用utf8有讲到，感兴趣的话可以去看看。

为什么不建议在MySQL中使用UTF8？

MySQL字符串编码集中有两套UTF-8编码实现：utf8和utf8mb4如果使用utf8的话，存储emoji符号...

3.宽字节SQL注入的原理

select* from news where id='1?''

如果数据库是GBK编码，当读到*?*时，发现?刚好才可以组成一个汉字(假设)于是?就逃逸了

3.1宽字节注入过滤原理

PHP发送请求到mysql时经过一次GBK编码，PHP会将获取到的数据进行魔术引号的处理，因为GBK是双字节编码，所以我们提交的%df这个字符和转译的反斜杠组成了新的汉字，然后数据库处理的时候是根据GBK去处理的，然后单引号就逃逸了出来。

3.2宽字节注入绕过原理

已知我们的提交数据会被加入，的编码为%5c,我们在后面加上%df后变为了%df%5c,变成一个繁体汉字運，变成了一个有多个字节的字符

因为用了gbk编码，使这个为一个两字节，绕过了单引号闭合,逃逸了转义。

数据库使用GBK编码可能存在宽字节注入

传一个字符将反斜杠吃掉成为汉字

大多数时候是看不到是否存在宽字节注入，那就去尝试看是否存在。