会员服务

当SQL注入遇到诡异的编码问题

2019 年 9 月 13 日 FreeBuf

前言

最近给甲方爸爸做渗透测试时发现了一个诡异的SQL注入,之所以说诡异,是因为该系统数据库连接编码与实际的数据库编码不一致,并且数据库表字段名使用了中文的字段名,导致通过正常手段无法获取到数据库数据。

故事开始

1、拿到资产清单后,发现有这样一个站。

2、简单测试了一下,发现该页面无验证码,无密码验证次数限制,可进行暴力破解,但进行了一波爆破后,并未得到可用账号。

3、通过系统资产表得到负责人和维护人的手机号。

4、使用负责人的手机号为账号,暴力破解得到弱口令186xxxxxxxx/12345678登录系统。

5、简单看了下页面,发现以下页面存在base64编码的sid参数,解码为手机号186xxxxxxxx,改为186xxxxxxxx’再编码发送会报错。

6、看到这里心里大喜,显然这里应该存在基于错误显示的SQL注入,话不多说,SQLMAP一把梭,成功跑出了注入点并且得知该数据库用户是管理员。

sqlmap -r sql.txt -p sid --tamper base64encode --technique Esqlmap -r sql.txt -p sid --tamper base64encode --technique E --is-dba

7、至此这个漏洞算是存在了,本不想深挖,但是又发现该系统存在一个后台页面,于是想从数据库中拿个账号登陆看看。

8、当我熟练地拿起SQLMAP跑出字段名时,我惊呆了,这开发大哥居然用的中文字段名。

sqlmap -r sql.txt -p sid --tamper base64encode --technique E -D CANTEEN -T XXX_INFO_USER --columns

9、照着平常的命令dump几条数据看看,果然跑不出来。

sqlmap -r sql.txt -p sid --tamper base64encode --technique E -D CANTEEN -T XXX_INFO_USER -C 工号,密码 --start 1 --stop 3 --dump

10、刚开始我以为只是SQLMAP对中文的兼容性问题,尝试了以下几种方法,都没有成功:

不使用报错回显注入,使用布尔盲注的方式

在Linux上面跑

—encoding GBK/—encoding UTF-8等

设置cmd页面编码为utf8

11、于是使用SQLMAP调试输出看看数据包,发现了奇葩的事情,报错页面居然存在两种编码!

sqlmap -r sql.txt -p sid --tamper base64encode --technique E -D CANTEEN -T XXX_INFO_USER -C 工号,密码 --start 1 --stop 3 --dump -v 7

12、为了验证我的猜想,在burpsuite上面把SQLMAP的请求重放看看。果然,web数据库连接编码与后台数据库编码不一致。当前burp设置的编码为utf8,所以猜测下图中乱码部分的编码为gbk。而图11中红框部分编码正常部分恰好是burp乱码部分,所以推测SQLMAP应该是使用了gbk解码显示。

13、看到这里,我有一句mmp不知当讲不当讲。吐槽完毕,还是乖乖地想起了应对方法,毕竟砖还是要搬的。重新梳理了一下字符的编码转换过程,对字段名做了个编码,如下。对的,你没有看错,确实是编码成了一个不正常的字符,SQLMAP正确识别出了编码,成功跑出了数据:

sqlmap -r sql.txt -p sid --tamper base64encode -T XXX_INFO_USER -C 宸ュ彿,瀵嗙爜 --start 1 --stop 3 --dump

原理解析

1、从上面实验中,我猜测WEB中间件连接数据库的编码为gbk,而数据库字段名的实际编码为utf8。

2、梳理一下从用户发起HTTP请求到数据库中间的数据流,其关键的编码过程如下(以下仅为本人不太专业的理解,不一定准确)。关键问题在于,SQLMAP输入的payload经过gbk编码成字节流,然后被数据库以utf8解码。

3、既然知道了编码的逻辑,那么通过反向编码就可以让数据库拿到正确的中文字符串了。举个例子,如果密码两个字要被数据库解码,那么它的字节流应该是\xe5\xaf\x86\xe7\xa0\x81。

ss = '密码'e = s.encode('utf-8')print(e)

4、而字符串瀵嗙爜通过gbk编码后的字节流也是\xe5\xaf\x86\xe7\xa0\x81,所以数据库能够把中文字段名正确地查询:

5、所以r0yanx才有了上面的操作,把中文字符串先进行utf8编码再进行gbk解码得到字符串,Python示例代码为:

#!/usr/bin/pythons = '密码'e = s.encode('utf-8')print(e.decode('gbk'))

*本文原创作者:r0yanx,本文属于FreeBuf原创奖励计划 ,未经许可禁止转载

精彩推荐


登录查看更多
0

相关内容

【实用书】学习用Python编写代码进行数据分析,103页pdf
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
【2020新书】使用高级C# 提升你的编程技能,412页pdf
【2020新书】使用高级C# 提升你的编程技能,412页pdf
专知会员服务
57+阅读 · 2020年6月26日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
专知会员服务
76+阅读 · 2020年4月13日
为什么批处理规范会导致梯度爆炸,Why Batch Norm Causes Exploding Gradients
为什么批处理规范会导致梯度爆炸,Why Batch Norm Causes Exploding Gradients
专知会员服务
16+阅读 · 2020年4月2日
【2020新书】如何认真写好的代码和软件,318页pdf
【2020新书】如何认真写好的代码和软件,318页pdf
专知会员服务
63+阅读 · 2020年3月26日
【经典书】Python数据数据分析第二版,541页pdf
【经典书】Python数据数据分析第二版,541页pdf
专知会员服务
193+阅读 · 2020年3月12日
【2020新书】如何构建数据团队?:设计集成的技能、需求和解决方案,257页pdf
【2020新书】如何构建数据团队?:设计集成的技能、需求和解决方案,257页pdf
专知会员服务
111+阅读 · 2020年3月11日
【2020新书】C语言算法导论,Introducing Algorithms in C,174页pdf
【2020新书】C语言算法导论,Introducing Algorithms in C,174页pdf
专知会员服务
100+阅读 · 2020年2月1日
【Google论文】ALBERT:自我监督学习语言表达的精简BERT
【Google论文】ALBERT:自我监督学习语言表达的精简BERT
专知会员服务
23+阅读 · 2019年11月4日
PC微信逆向:两种姿势教你解密数据库文件
PC微信逆向:两种姿势教你解密数据库文件
黑客技术与网络安全
16+阅读 · 2019年8月30日
渗透某德棋牌游戏
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
24+阅读 · 2019年3月8日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
逆向 | C++ 加壳程序的编写思路
逆向 | C++ 加壳程序的编写思路
计算机与网络安全
9+阅读 · 2019年1月1日
如何用GitLab本地私有化部署代码库?
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
Neo4j 和图数据库起步
Neo4j 和图数据库起步
Linux中国
8+阅读 · 2017年12月20日
码农日常工具推荐
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
Imbalance Problems in Object Detection: A Review
Arxiv
24+阅读 · 2020年3月11日
Language Modeling with Deep Transformers
Arxiv
6+阅读 · 2019年7月11日
Commonsense for Generative Multi-Hop Question Answering Tasks
Arxiv
4+阅读 · 2018年9月17日
Dynamic Self-Attention : Computing Attention over Words Dynamically for Sentence Embedding
Dynamic Self-Attention : Computing Attention over Words Dynamically for Sentence Embedding
Arxiv
8+阅读 · 2018年8月22日
Bidirectional Attention for SQL Generation
Bidirectional Attention for SQL Generation
Arxiv
4+阅读 · 2018年6月21日
Near Human-Level Performance in Grammatical Error Correction with Hybrid Machine Translation
Arxiv
5+阅读 · 2018年4月16日
Learning over Knowledge-Base Embeddings for Recommendation
Arxiv
23+阅读 · 2018年3月22日
CuLDA_CGS: Solving Large-scale LDA Problems on GPUs
Arxiv
3+阅读 · 2018年3月13日
Recurrent Residual Convolutional Neural Network based on U-Net (R2U-Net) for Medical Image Segmentation
Arxiv
13+阅读 · 2018年2月20日
MARVELO: Wireless Virtual Network Embedding for Overlay Graphs with Loops
Arxiv
7+阅读 · 2017年12月18日
VIP会员
相关主题
SQLMap
SQL
数据库
验证码
解码
相关VIP内容
【实用书】学习用Python编写代码进行数据分析,103页pdf
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
194+阅读 · 2020年6月29日
【2020新书】使用高级C# 提升你的编程技能,412页pdf
【2020新书】使用高级C# 提升你的编程技能,412页pdf
专知会员服务
57+阅读 · 2020年6月26日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
专知会员服务
76+阅读 · 2020年4月13日
为什么批处理规范会导致梯度爆炸,Why Batch Norm Causes Exploding Gradients
为什么批处理规范会导致梯度爆炸,Why Batch Norm Causes Exploding Gradients
专知会员服务
16+阅读 · 2020年4月2日
【2020新书】如何认真写好的代码和软件,318页pdf
【2020新书】如何认真写好的代码和软件,318页pdf
专知会员服务
63+阅读 · 2020年3月26日
【经典书】Python数据数据分析第二版,541页pdf
【经典书】Python数据数据分析第二版,541页pdf
专知会员服务
193+阅读 · 2020年3月12日
【2020新书】如何构建数据团队?:设计集成的技能、需求和解决方案,257页pdf
【2020新书】如何构建数据团队?:设计集成的技能、需求和解决方案,257页pdf
专知会员服务
111+阅读 · 2020年3月11日
【2020新书】C语言算法导论,Introducing Algorithms in C,174页pdf
【2020新书】C语言算法导论,Introducing Algorithms in C,174页pdf
专知会员服务
100+阅读 · 2020年2月1日
【Google论文】ALBERT:自我监督学习语言表达的精简BERT
【Google论文】ALBERT:自我监督学习语言表达的精简BERT
专知会员服务
23+阅读 · 2019年11月4日
热门VIP内容
相关资讯
PC微信逆向:两种姿势教你解密数据库文件
PC微信逆向:两种姿势教你解密数据库文件
黑客技术与网络安全
16+阅读 · 2019年8月30日
渗透某德棋牌游戏
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
24+阅读 · 2019年3月8日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
逆向 | C++ 加壳程序的编写思路
逆向 | C++ 加壳程序的编写思路
计算机与网络安全
9+阅读 · 2019年1月1日
如何用GitLab本地私有化部署代码库?
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
Neo4j 和图数据库起步
Neo4j 和图数据库起步
Linux中国
8+阅读 · 2017年12月20日
码农日常工具推荐
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
相关论文
Imbalance Problems in Object Detection: A Review
Arxiv
24+阅读 · 2020年3月11日
Language Modeling with Deep Transformers
Arxiv
6+阅读 · 2019年7月11日
Commonsense for Generative Multi-Hop Question Answering Tasks
Arxiv
4+阅读 · 2018年9月17日
Dynamic Self-Attention : Computing Attention over Words Dynamically for Sentence Embedding
Dynamic Self-Attention : Computing Attention over Words Dynamically for Sentence Embedding
Arxiv
8+阅读 · 2018年8月22日
Bidirectional Attention for SQL Generation
Bidirectional Attention for SQL Generation
Arxiv
4+阅读 · 2018年6月21日
Near Human-Level Performance in Grammatical Error Correction with Hybrid Machine Translation
Arxiv
5+阅读 · 2018年4月16日
Learning over Knowledge-Base Embeddings for Recommendation
Arxiv
23+阅读 · 2018年3月22日
CuLDA_CGS: Solving Large-scale LDA Problems on GPUs
Arxiv
3+阅读 · 2018年3月13日
Recurrent Residual Convolutional Neural Network based on U-Net (R2U-Net) for Medical Image Segmentation
Arxiv
13+阅读 · 2018年2月20日
MARVELO: Wireless Virtual Network Embedding for Overlay Graphs with Loops
Arxiv
7+阅读 · 2017年12月18日
大家都在搜
  1. palantir
  2. 自主可控
  3. 大型语言模型
  4. CMU博士论文
  5. 生成式人工智能
  6. 无人艇
  7. 洛克菲勒
  8. 数字孪生
  9. CSIG
  10. 出海产品从 0 到 1 该怎么做
    11.
Top
微信扫码咨询专知VIP会员
Top