深入理解Mysql宽字符注入

之前记录过一篇 写的不够详细

概念

宽字节是相对于ascII这样单字节而言的；像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节，实际上只有两字节

GBK是一种多字符的编码，通常来说，一个gbk编码汉字，占用2个字节。一个utf-8编码的汉字，占用3个字节

原理

mysql在使用GBK编码会认为两个字符为一个汉字,只要前一个字符的ascii码>128就是汉字的编码范围

利用场景

转义函数：为了过滤用户输入的一些数据，对特殊的字符加上反斜杠“\”进行转义；Mysql中转义的函数addslashes，mysql_real_escape_string，mysql_escape_string等，还有一种是配置magic_quote_gpc，不过PHP高版本已经移除此功能

addslashes():

函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是：

单引号（'）

双引号（"）

反斜杠（）

NULL

绕过思路

想办法给\前面再加一个\（或单数个即可），变成\\’，这样\被转义了，'逃出了限制

去掉转义符\

\的16进制编码为5c

只要前一个字符的ascii码>128就是汉字的编码范围

实验

1、加个%df跟\组成一个汉字 再加个'闭合前面的引号

2、129的十六进制为81，我们输入%81'试一下

这里%df url解码后就是图示乱字符

playload

%81' or 1=1#

%df' order by33--+

工具

http://tool.chinaz.com/tools/urlencode.aspx

进制转换

原文地址《深入理解Mysql宽字符注入》