SQLMap自定义Union注入Payload高级教程<\/h1>

1. 注入场景分析<\/h2>

1.1 特殊注入场景描述<\/h3>
目标URL: pay.php?id=pay<\/code><\/li>
注入点特征: 需要在pay<\/code>后添加特定字符才能触发注入<\/li>
有效注入语句: pay<\/code> + \/_<\/em>\/ where false #`<\/li>
无效注入语句: pay<\/code> + \/_<\/em>\/where+ false #` (注意空格差异)<\/li>
<\/ul>
1.2 SQLMap识别失败原因<\/h3>

注入位置特殊，位于pay<\/code>字符串后<\/li>
需要保留特定格式pay<\/code> + \/_<\/em>\/ where false`字段才可控<\/li>
常规Union注入测试无法命中该特殊位置<\/li>
<\/ul>
2. Union注入原理深入<\/h2>
2.1 Union注入基本流程<\/h3>


列数探测<\/strong>: 通过ORDER BY<\/code>确定SELECT语句列数<\/p>

从1开始递增，直到报错<\/li>
需要测试一大一小两个值确定准确列数<\/li>
<\/ul>
<\/li>

联合查询构造<\/strong>:<\/p>

确保两侧SELECT列数相同<\/li>
通过子查询提取数据<\/li>
<\/ul>
<\/li>
<\/ol>
2.2 SQLMap内部处理机制<\/h3>

测试文件: data\/xml\/payloads\/union_query.xml<\/code><\/li>
关键模板: "Generic UNION query"<\/li>
依赖标签: <vector><\/code>, <request><\/code>, <response><\/code><\/li>
<\/ul>
3. 自定义Payload解决方案<\/h2>
3.1 修改boundaries.xml方案<\/h3>

定位文件: xml\/payloads\/boundaries.xml<\/code><\/li>
关键属性配置:
<boundary><\/span>
<\/span><\/span>  <level><\/span>1<\/level><\/span>
<\/span><\/span>  <clause><\/span>1,2<\/clause><\/span>
<\/span><\/span>  <where><\/span>1<\/where><\/span>
<\/span><\/span>  <ptype><\/span>1<\/ptype><\/span>
<\/span><\/span>  <prefix><\/span>pay`+\/*_*\/where+false<\/prefix><\/span>
<\/span><\/span>  <suffix><\/span>#<\/suffix><\/span>
<\/span><\/span><\/boundary><\/span>
<\/span><\/span><\/code><\/pre><\/li>
匹配规则:

clause<\/code>取值1-9，联合查询相关子查询为1(where)、3(order by)<\/li>
where<\/code>取值1-3，确定payload插入位置<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 编码问题处理<\/h3>

问题现象: 自定义字符被编码为%2B%2F%2A_%2A%2F<\/code><\/li>
解决方案:

使用BurpSuite进行发包替换<\/li>
替换规则: %2B%2F%2A_%2A%2F<\/code> → pay<\/code>+\/_<\/em>\/where`<\/li>
<\/ol>
<\/li>
<\/ul>
3.3 更便捷的参数方案<\/h3>
使用命令行参数直接指定前后缀:<\/p>
sqlmap --prefix=<\/span>"pay`+\/*_*\/where+false"<\/span> --suffix=<\/span>"#"<\/span> --technique=<\/span>U -v 3<\/span>
<\/span><\/span><\/code><\/pre>优势:<\/p>

无需修改boundary文件<\/li>
SQLMap会直接使用提供的前后缀<\/li>
调用默认的clause和where匹配union_query.xml模板<\/li>
<\/ul>
4. 完整测试流程<\/h2>


初始探测:<\/p>
sqlmap -u "pay.php?id=pay"<\/span> --prefix=<\/span>"pay`+\/*_*\/where+false"<\/span> --suffix=<\/span>"#"<\/span> --technique=<\/span>U -v 3<\/span>
<\/span><\/span><\/code><\/pre><\/li>

代理调试(可选):<\/p>
sqlmap -u "pay.php?id=pay"<\/span> --prefix=<\/span>"pay`+\/*_*\/where+false"<\/span> --suffix=<\/span>"#"<\/span> --technique=<\/span>U -v 3<\/span> --proxy=<\/span>http:\/\/127.0.0.1:8080
<\/span><\/span><\/code><\/pre><\/li>

观察测试payload:<\/p>

有效payload示例: pay<\/code>+\/_<\/em>\/where+false order by 1#`<\/li>
列数探测payload: pay<\/code>+\/_<\/em>\/where+false order by 4839#`<\/li>
<\/ul>
<\/li>

成功识别后:<\/p>

SQLMap会自动进行列数判断<\/li>
构造Union子查询<\/li>
使用CASE条件从句提取数据<\/li>
<\/ul>
<\/li>
<\/ol>
5. 高级技巧与注意事项<\/h2>


空格敏感性<\/strong>:<\/p>

确保自定义payload中的空格与目标系统要求一致<\/li>
可使用+<\/code>或%20<\/code>替代空格<\/li>
<\/ul>
<\/li>

注释处理<\/strong>:<\/p>

不同数据库注释语法差异<\/li>
MySQL: #<\/code>, -- <\/code>, \/* *\/<\/code><\/li>
确保使用目标系统支持的注释符号<\/li>
<\/ul>
<\/li>

代理调试技巧<\/strong>:<\/p>

推荐使用BurpSuite拦截请求<\/li>
观察实际发送的payload格式<\/li>
检查编码问题<\/li>
<\/ul>
<\/li>

多技术组合<\/strong>:<\/p>

可结合其他注入技术(--technique=BEUST<\/code>)<\/li>
例如: --technique=BU<\/code> (布尔+联合)<\/li>
<\/ul>
<\/li>

性能优化<\/strong>:<\/p>

限制测试级别: --level=3<\/code><\/li>
指定风险级别: --risk=3<\/code><\/li>
减少测试payload数量<\/li>
<\/ul>
<\/li>
<\/ol>
6. 故障排除指南<\/h2>


SQLMap不发送测试payload<\/strong>:<\/p>

检查-v 3<\/code>以上日志级别<\/li>
确认--technique=U<\/code>参数正确<\/li>
验证URL格式是否正确<\/li>
<\/ul>
<\/li>

Payload被错误编码<\/strong>:<\/p>

使用代理工具检查原始请求<\/li>
考虑使用--skip-urlencode<\/code><\/li>
手动处理特殊字符编码<\/li>
<\/ul>
<\/li>

识别失败但手动注入成功<\/strong>:<\/p>

检查前后缀是否完全匹配<\/li>
验证注释符号有效性<\/li>
尝试调整--level<\/code>和--risk<\/code><\/li>
<\/ul>
<\/li>

Order By探测不完整<\/strong>:<\/p>

检查是否只发送了order by 1<\/code><\/li>
尝试手动指定列数--columns<\/code><\/li>
确保没有过滤或WAF干扰<\/li>
<\/ul>
<\/li>
<\/ol>
7. 扩展应用场景<\/h2>


其他特殊位置注入<\/strong>:<\/p>

ORDER BY后注入<\/li>
GROUP BY后注入<\/li>
HAVING子句注入<\/li>
<\/ul>
<\/li>

复杂过滤绕过<\/strong>:<\/p>

处理关键字过滤<\/li>
绕过特殊字符限制<\/li>
处理编码转换<\/li>
<\/ul>
<\/li>

多参数注入<\/strong>:<\/p>

使用--prefix<\/code>和--suffix<\/code>针对不同参数<\/li>
结合--param-del<\/code>处理复杂参数<\/li>
<\/ul>
<\/li>

非标准注入点<\/strong>:<\/p>

JSON参数注入<\/li>
HTTP头注入<\/li>
Cookie注入<\/li>
<\/ul>
<\/li>
<\/ol>
通过本教程，您应该能够掌握SQLMap自定义Union注入Payload的高级技巧，有效解决特殊场景下的SQL注入测试需求。<\/p>