首页
职业课程
师资团队
免费课程
认证考试
学习平台
学员成果
关于我们
网络安全文章页活动benner
新闻详情页
SQL注入--宽字节注入原理, 利用以及防御

1.既然宽字节注入可以绕过单引号过滤,那么怎么来修复呢?

宽字符:解 决方法:就是在初始化连接和字符集之后,使用 SET character_set_client=binary 来设定客户端的字符集是二进制的。修改 Windows 下的 MySQL 配置文件一般是 my.ini,Linux 下的 MySQL 配置文件 一般是 my.cnf,比如:mysql_query("SETcharacter_set_client=binary");。 character_set_client 指定的是 SQL 语句的编码,如果设置为 binary,MySQL 就以二进制来执行,这样宽字节编码问题就没有用武之地了。

2 SQL注入--宽字节注入原理, 利用以及防御

GBK编码原理


GBK可以是一个字节编码, 也可以为两个字节编码


开头若为0x00-0x7F, 即0-7*16+15=127, 共128个字符, 跟ASCLL一样, 此时一个字节编码


当GBK为两个字节编码时, 则第一个字节是(129-254),第二个字节(64-254)


 MYSQL的字符集转换过程


1. MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection;


2. 进行内部操作前将请求数据从character_set_connection转换为内部操作字符集,其确定方法如下:


· 使用每个数据字段的CHARACTER SET设定值;


· 若上述值不存在,则使用对应数据表的DEFAULT CHARACTER SET设定值(MySQL扩展,非SQL标准);


· 若上述值不存在,则使用对应数据库的DEFAULT CHARACTER SET设定值;


· 若上述值不存在,则使用character_set_server设定值。


将操作结果从内部操作字符集转换为character_set_results。


重点:宽字节注入发生的位置就是PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码。


宽字节示例


攻击者编写payload: 


�' or 1=1#  即url编码为 %df %27 +or+1 %3d 1 %23   %df(�) %27(')+or+1 %3d(=) 1 %23(#)


经过php中的转义函数addslashes的转义后, 


�' or 1=1#变为�\' or 1=1# 编码为 %df %5c %27 +or+1 %3d 1 %23   %df(�) %5c(\) %27(')+or+1 %3d(=) 1 %23(#)


随后PHP发送请求到MYSQL时字符集使用character_set_client设置值进行了一次编码


%df(�)和%5c(\)合并, 成为一个两个字节gbk编码,即 "運" 而 %27(') %3d(=) %23(#)均小于%7F, 即为一个字节的gbk编码,和ascll一致,从而保留下来


改进, GBK转UTF-8


不少程序员有了安全意识,代码会改成这样


mysql_query("SET NAMES binary'");


$id = iconv("gbk","utf-8",$id_tmp);


输入%df%27时首先经过上面提到的单引号转义变成了%df%5c%27(%5c是反斜杠\),然后%df%5c正好属于gbk的汉字编码范围,经过iconv转换到utf-8编码转换后变成了汉字“運”,从而吞掉了反斜杠使得单引号逃脱出来。


%e5%5c%27


变换过程:(e55c转为UTF-8为e98ca6)


e55c27====(addslashes)====>e55c5c5c27====(iconv)====>e98ca65c5c27


可以看到,多出了一个5c,将转义符(反斜杠)本身转义,使得后面的%27发挥了作用。


改进, UTF-8转GBK


mysql_query("SET NAMES binary");


$title = iconv("utf-8","gbk",$title_tmp);


这里我们思考下“錦”这个字,它的utf-8编码是e98ca6,它的gbk编码是e55c,而上面提到过反斜杠\正好为5c。所以如果我们将title设置为:錦’,首先经过addlashes函数或GPC对单引号转义变为:錦\’,然后会经过icnov函数会对”錦”转化为gbk编码,最后就是:%e5%5c%5c%27。反斜杠被转义了(%5c%5c),从而单引号逃逸出来就会引发注入漏洞。


这个情景的大前提是先编码后转义:


e98ca6====(iconv)=====>e55c=====(addslashes)====>e55c5c


防御


对于宽字节编码,有一种最好的修补就是:


(1)使用mysql_set_charset(GBK)指定字符集


(2)使用mysql_real_escape_string进行转义


原理是,mysql_real_escape_string与addslashes的不同之处在于其会考虑当前设置的字符集,不会出现前面e5和5c拼接为一个宽字节的问题,但是这个“当前字符集”如何确定呢?


就是使用mysql_set_charset进行指定。


上述的两个条件是“与”运算的关系,少一条都不行。


联系电话:17713623990