SQL注入防御繞過(guò)——寬字節(jié)注入

01 背景知識(shí)

字符集

在了解寬字節(jié)注入之前,我們先來(lái)看一看字符集是什么。字符集也叫字符編碼,是一種將符號(hào)轉(zhuǎn)換為二進(jìn)制數(shù)的映射關(guān)系。
幾種常見的字符集:

  • ASCII編碼:?jiǎn)巫止?jié)編碼
  • latin1編碼:?jiǎn)巫止?jié)編碼
  • gbk編碼:使用一字節(jié)和雙字節(jié)編碼,0x00-0x7F范圍內(nèi)是一位,和 ASCII 保持一致。雙字節(jié)的第一字節(jié)范圍是0x81-0xFE
  • UTF-8編碼:使用一至四字節(jié)編碼,0x00–0x7F范圍內(nèi)是一位,和 ASCII 保持一致。其它字符用二至四個(gè)字節(jié)變長(zhǎng)表示。

寬字節(jié)就是兩個(gè)以上的字節(jié),寬字節(jié)注入產(chǎn)生的原因就是各種字符編碼的不當(dāng)操作,使得攻擊者可以通過(guò)寬字節(jié)編碼繞過(guò)SQL注入防御。

MySQL字符轉(zhuǎn)換

數(shù)據(jù)提交到MySQL數(shù)據(jù)庫(kù),需要進(jìn)行字符集的轉(zhuǎn)換,使得MySQL數(shù)據(jù)庫(kù)可以對(duì)數(shù)據(jù)進(jìn)行處理,這一過(guò)程一般有以下三個(gè)步驟:

  1. 收到請(qǐng)求,將請(qǐng)求數(shù)據(jù)從 character_set_client ->character_set_connection。
  2. 內(nèi)部操作,將數(shù)據(jù)從character_set_connection-> 表創(chuàng)建的字符集。
  3. 結(jié)果輸出,將數(shù)據(jù)從表創(chuàng)建的字符集 -> character_set_results

當(dāng)執(zhí)行set names "charset",相當(dāng)于執(zhí)行
set character_set_client = charset
set character_set_connection = charset
set character_set_results = charset

client 指的是PHP程序
connection 指的是PHP客戶端與MySQL服務(wù)器之間連接層
results 指的是MySQL服務(wù)器返回給PHP客戶端的結(jié)果

MySQL常見的亂碼問(wèn)題就是這三個(gè)字符集的設(shè)置不當(dāng)所引起的。

02 寬字節(jié)注入

這里的演示環(huán)境為 sqli-labs\Less-32

<?php
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");

function check_addslashes($string)
{
    $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
    $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
    $string = preg_replace('/\"/', "\\\"", $string);                               //escape double quote with a backslash
    return $string;
}

// take the variables 
if(isset($_GET['id']))
{
$id=check_addslashes($_GET['id']);
//echo "The filtered request is :" .$id . "<br>";

//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

mysql_query("SET NAMES gbk");
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    if($row)
    {
    echo '<font color= "#00FF00">'; 
    echo 'Your Login name:'. $row['username'];
    echo "<br>";
    echo 'Your Password:' .$row['password'];
    echo "</font>";
    }
    else 
    {
    echo '<font color= "#FFFF00">';
    print_r(mysql_error());
    echo "</font>";  
    }
}
    else { echo "Please input the ID as parameter with numeric value";}
?>

普通注入

當(dāng)用戶提交
http://127.0.0.1/Less-32/?id=1'
此時(shí),發(fā)生如下轉(zhuǎn)換
第一步:'check_addslashes 函數(shù)轉(zhuǎn)義為 \'

第二步:在執(zhí)行sql查詢之前,也即\'代入MySQL服務(wù)器之前,mysql_query("SET NAMES gbk");將MySQL的三個(gè)字符集設(shè)置為 gbk 編碼

第三步:character_set_client告訴MySQL Server,傳入的是gbk編碼,也就是\'被當(dāng)做了%5C%27傳入

第四步:character_set_client -> character_set_connection編碼完全一致,數(shù)據(jù)沒(méi)有做任何轉(zhuǎn)換,所以輸入是%5C%27,輸出的是%5C%27

第五步:character_set_connection-> table charset這里我們需要關(guān)注下所使用的表的字符集

table_charset

可以看到id參數(shù)沒(méi)有設(shè)置編碼方式,不會(huì)對(duì)%5C%27進(jìn)行處理。在這里MySQL服務(wù)器將查詢語(yǔ)句執(zhí)行,并返回結(jié)果。
執(zhí)行的SQL語(yǔ)句為:
$sql="SELECT * FROM users WHERE id='1\'' LIMIT 0,1";
'被轉(zhuǎn)義無(wú)法進(jìn)行注入

第六步:table charset -> character_set_results由于character_set_results字符集也設(shè)定為 gbk ,保證了輸出內(nèi)容沒(méi)有亂碼。

通過(guò)上面的分析,我們發(fā)現(xiàn)用戶提交的數(shù)據(jù)實(shí)際上只被處理了兩次,一次是check_addslashes對(duì)危險(xiǎn)字符的處理,另一次是gbk編碼。所以,我們可以將以上步驟簡(jiǎn)化為:

數(shù)據(jù) ==== (check_addslashes)====XXX====(GBK)====代入數(shù)據(jù)庫(kù)執(zhí)行的內(nèi)容

寬字節(jié)注入

提交:
http://127.0.0.1/Less-32/?id=1%df'('瀏覽器自動(dòng)進(jìn)行url編碼%27)
根據(jù)以上分析,發(fā)生如下轉(zhuǎn)換:
%df%27====>(check_addslashes)====>%df%5c%27====>(GBK)====>運(yùn)'
MySQL執(zhí)行的語(yǔ)句為:
$sql="SELECT * FROM users WHERE id='1運(yùn)'' LIMIT 0,1";成功將單引號(hào)閉合,可以進(jìn)行SQL注入。

寬字節(jié)注入2.0

為了避免漏洞,網(wǎng)站一般會(huì)設(shè)置UTF-8編碼,然后進(jìn)行轉(zhuǎn)義過(guò)濾。但是由于一些不經(jīng)意的字符集轉(zhuǎn)換,又會(huì)導(dǎo)致漏洞。
使用set names UTF-8指定了UTF-8字符集,并且也使用轉(zhuǎn)義函數(shù)進(jìn)行轉(zhuǎn)義。有時(shí)候,為了避免亂碼,會(huì)將一些用戶提交的GBK字符使用iconv函數(shù)先轉(zhuǎn)為UTF-8,然后再拼接入SQL語(yǔ)句。

mysql_query(“set names UTF-8”) ;  
$bar =iconv(“GBK”,”UTF-8”, addslashes($_GET[‘’bar])) ;

提交:
http://127.0.0.1/Less-32/?id=1%e5%5c%27
轉(zhuǎn)換:(%e5%5c轉(zhuǎn)為UTF-8為e9%8c%a6
%e5%5c%27====>(addslashes)====>%e5%5c%5c%5c%27====(iconv)====>%e9%8c%a6%5c%5c%27
可以看到,多出了一個(gè)%5c,將轉(zhuǎn)義符(反斜杠)本身轉(zhuǎn)義,使得后面的%27單引號(hào)發(fā)揮了作用

03 寬字節(jié)注入防御(參考源)

對(duì)于寬字節(jié)編碼,有一種最好的修補(bǔ)就是:

(1)使用mysql_set_charset(GBK)指定字符集

(2)使用mysql_real_escape_string進(jìn)行轉(zhuǎn)義

原理是,mysql_real_escape_stringaddslashes的不同之處在于其會(huì)考慮當(dāng)前設(shè)置的字符集,不會(huì)出現(xiàn)前面e5和5c拼接為一個(gè)寬字節(jié)的問(wèn)題,但是這個(gè)“當(dāng)前字符集”如何確定呢?

就是使用mysql_set_charset進(jìn)行指定。

上述的兩個(gè)條件是“與”運(yùn)算的關(guān)系,少一條都不行。
<meta charset="utf-8">

測(cè)試;

1

輸出:

2
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 網(wǎng)頁(yè)出現(xiàn)亂碼的原因: 客戶端與數(shù)據(jù)庫(kù)的數(shù)據(jù)傳輸處編碼、數(shù)據(jù)庫(kù)存儲(chǔ)處編碼,兩者編碼不同,就會(huì)出現(xiàn)亂碼。還有一種情況,...
    FKTX閱讀 2,805評(píng)論 0 0
  • 0x00概述 寬字節(jié)注入主要源于程序員設(shè)置數(shù)據(jù)庫(kù)編碼與php編碼設(shè)置為不同的兩種編碼,那么就可能產(chǎn)生寬字節(jié)注入 例...
    queena_閱讀 1,381評(píng)論 0 1
  • 寬字節(jié)注入是因?yàn)閿?shù)據(jù)庫(kù)使用了GBK編碼,不過(guò)現(xiàn)在大都使用unicode國(guó)際編碼,大多數(shù)網(wǎng)站都使用了utf-8的編碼...
    CSeroad閱讀 28,343評(píng)論 7 4
  • 一封老郵件: 之前出現(xiàn)的問(wèn)題就是當(dāng)數(shù)據(jù)庫(kù)字符集設(shè)置為gbk時(shí),%bf%27這個(gè)調(diào)用mysql_real_escap...
    書豪吳閱讀 418評(píng)論 0 0
  • 這是一個(gè)細(xì)弱的貓一樣的女孩子,安靜地?fù)Пеp膝,蜷縮在地板的角落,長(zhǎng)長(zhǎng)的披散著的頭發(fā),遮住了整張面孔。 ...
    劉小柯閱讀 535評(píng)論 0 5

友情鏈接更多精彩內(nèi)容