数据库使用gbk编码的时候,会将两个字符合并成一个中文。
写在前面吧,对php的代码审计也会有帮助
直接使用 set character_set_client=gbk 或者是常见的mysql_query("SET NAMES gbk");都会存在款字节注入。
官方推荐使用Mysql_set_charset('gbk','$conn'),但是也不是完全就没有问题了
推荐使用mysql_query("SET NAMES gbk");后set character_set_client=binary。
第三十二关:
这关是宽字节注入漏洞,特殊值字符如单引号都会被转义 ' -> \'
原理我有点说不清楚:通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。在php中,我们可以通过输出echo strlen("中");页面编码为gbk时输入2,utf-8时输入3;mysql在使用GBK编码的时候,会认为两个字符为一个汉字,例如%df%5c就是一个汉字(前一个ascii码大于128才能到汉字的范围)。我们在过滤 ' 的时候,往往利用的思路是将 ' 转换为 \' 。所以如果我们输入%df%27(%27就是单引符号会被转义成\' 也就是%5c%27),在后台%df会将%5c“吃掉”,组成一个汉字(%df%5c是一个汉字)。
输入?id=1%df%27,页面会报错说明单引符号起作用了。
输入?id=%df%27 union select 1,2,3 %23
第三十三关:
后台使用的addslashes()做的过滤,绕过手法和上面完全一样
第三十四关:
和第三十三关一样,只是将get请求换成了post请求。
第三十五关:
连引号都不需要用了,直接联合注入就好,不知道这关为什么要这样,没摸清用意。
第三十六关:
使用的是mysql_real_eacape_string(),会比addslashes多过滤些东西
还是可以使用宽字节注入。
第三十七关:
将第三十六关的get请求转成了post请求。