前言继续开始我们的SQL注入吧本文详细讲解SQL注入的各类技术包括联合查询、报错注入、布尔盲注、时间盲注、UA注入、Referer注入等涵盖漏洞判断、利用方法和实战步骤。内容基于MySQL 5.0以上环境围绕information_schema元数据库展开信息探测介绍如何通过UNION、extractvalue、updatexml等函数获取数据库名、表名、字段及数据并分析不同注入场景下的闭合方式、绕过技巧与防御规避思路。目录一、数据库基本知识1、数据库常见函数2、数据库构成二、判断数据库类型三、SQL注入通用流程1、判断是否有注入点参数之类的2、判断是字符型还是数字型3、选择技术识别4、过滤测试与绕过5、数据提取四、联合查询注入1、首先判断注入点2、判断注入类型大类定位3、判断注入点列数4、判断显示位5、构造POC查询用户名和数据库名6、构造poc获取数据库中的各个表名7、获取user表中的数据五、报错注入1、报错原理:2、报错注入常用的函数extractvalue()updatexml()gtid_subset( )3、案例4、concat与group_concat区别:六、 盲注注入1、布尔盲注布尔注入概念判断SQL注入存在性数据库名爆破技术高级注入技术爆破实战技巧2、时间盲注时间盲注原理与检测时间盲注实战流程盲注技巧与注意事项盲注防御与绕过七、另类获取数据的一些方式1、几何图形解析函数2、SQL注释技巧3、内连接报错技术4、其他数据获取技巧八、UA注入九、Refer字段注入十、总结注入类型分类一、数据库基本知识1、数据库常见函数2、数据库构成初始化安装mysql数据库后 会默认创建4个系统数据库注意MySQL 5.0及以上版本出现了information_schema数据库很重要二、判断数据库类型PHP网站通常使用MySQL数据库ASP网站常用Access或SQL Server数据库端口特征MySQL默认端口3306SQL Server默认端口1433Access无独立端口文件型数据库三、SQL注入通用流程1、判断是否有注入点参数之类的2、判断是字符型还是数字型这里得判断闭合方式是单引号还是双引号都试一遍3、选择技术识别Union → 显错 → 布尔盲注 → 时间盲注按优先级4、过滤测试与绕过通过一步一步的测试哪些轮子可以用最终构造出poc5、数据提取四、联合查询注入使用场景数据库在页面中存在显示位。UNION操作符用于连接两个以上的SELECT语句的结果组合到一个结果集合中。前提是两个select必有相同列。对应列的数据类型必须相同1、首先判断注入点如果有这样的url我们就可以试试SQL注入了2、判断注入类型大类定位在判断注入类型的过程中同时也在判断是否存在SQL注入判断是字符型还是数字型判断步骤观察周期性单引号报错→双引号正常→三引号报错→四引号正常...测试双引号id1正常说明闭合方式为单引号测试单引号id1报错说明可能是字符型结论呈现周期性变化即为字符型注入3、判断注入点列数使用order byorder by 是用来排序的。假如order by 3不报错order by4发生报错这就说明该表只有3列。4、判断显示位定义页面中显示数据库内容的区域我们已经确定表有三列那么我们可以使用联合查询前面的数据查不到即使用负数或极大数这里是数值型如果是字符型就给它顺便赋个参数这让我们知道显示位为后2位5、构造POC查询用户名和数据库名在显示位上构造要查询的函数例如当前用户名和数据库名6、构造poc获取数据库中的各个表名既然这里有注入而且我们知道现在的高版本mysql数据库中都有information_schema数据库这里存储了所有的数据库名表名字段名?id-1 union select 1,database(),(select group_concat(table_name) from information_schema.tables where table_schemasecurity)--在这个数据库中什么表最重要那当然是user表啦7、获取user表中的数据?id-1 union select 1,database(),(select group_concat(username,~,password) from security.users)--为了让用户名和密码分开使用~分开五、报错注入1、报错原理:当xpath_expr参数不符合xpath格式时会报错会引发xpath syntax error。2、报错注入常用的函数extractvalue()extractvalue(xml_frag, xpath_expr)若xpath_expr参数不符合xpath格式就会报错。而~ 符号(ascii编码值0x7e)是不存在xpath格式中的 所以一旦在xpath_expr参数中使用~符号就会报错。常用的pocextractvalue(1,payload)select * from test where id1字符型and(extractvalue(1,concat(0x7e,(selectuser()),0x7e)))1数字型and (extractvalue(1,concat(0x7e,(select user()),0x7e)))1updatexml()常用的pocupdatexml(1,payload,1)select * form test where id1 and (updatexml(1,concat(0x7e,(select user())),1));字符型and(updatexml(1,concat(0x7e,(selectuser()),0x7e),1))1数字型and(updatexml(1,concat(0x7e,(SELECT version),0x7e),1))1参数数量: extractvalue()有两个参数updatexml()有三个参数报错通常发生在第二个参数位xpath路径参数。长度限制:报错内容最多显示32个字符超过时需使用截取函数如substr()gtid_subset( )需要将查询内容放在第一个参数位置因为解析时哪个参数先触发格式错误报错信息就回显哪个参数的内容。常用注入语法格式selectgtid_subset(user(),1);3、案例and(extractvalue(1,concat(0x7e,(selectuser()),0x7e)))1虽然语法没错但空字符串在某些老旧系统或特定 SQL 模式下可能有特殊处理比如与 NULL 混淆所以最好加上成功获取数据4、concat与group_concat区别:concat将每行记录的指定字段合并为一个字符串group_concat将所有记录以逗号分隔合并为一个长字符串实际应用中concat需配合limit使用而group_concat可直接使用六、 盲注注入1、布尔盲注布尔注入概念Web的页面的仅仅会返回True和False。那么布尔盲注就是进行SQL注入之后然后根据页面返回的True或者是False来得到数据库中的相关信息。判断SQL注入存在性回显变化检测法字符型注入检测通过输入单引号、双引号等特殊字符观察页面回显是否呈现周期性变化如单引号→双引号→三个引号→四个引号数字型注入检测使用运算表达式如1/1、1/0、2-1等观察页面是否能正常跳转长度变化检测当页面无可见变化时通过Burp Suite观察响应包长度变化如706→722→706的周期性变化正常情况下加了单引号加双引号连接符选择原理AND优先原则基础检测语句使用AND 11而非OR因为当ID1存在时OR连接的条件无论真假都会返回相同结果过滤规避技巧当等号被过滤时可用LIKE替代如AND 1 LIKE 1实现相同效果数据库名爆破技术截取函数爆破法MID函数应用构造MID(database(),1,1)a判断第一位字符通过响应长度差异确认正确字符爆破流程先爆破数据库名长度LENGTH(database())8再逐个爆破字符位置设置payload位置为数字序列(1-8)字符集配置包含a-z、0-9及常见特殊字符LIKE替代方案百分号匹配当截取函数不可用时使用LIKE a%形式爆破百分号匹配任意长度字符下划线匹配已知长度时用LIKE s___7个下划线精确匹配每个下划线代表一个字符轮子构造方法论基础验证通过AND 11、AND 12测试基础注入点函数可用性测试IF函数IF(11,1,0)验证条件判断功能等号替代测试LIKE、REGEXP等替代运算符最终POC构造将验证通过的语句变形为IF(MID(database(),1,1)s,1,0)形式高级注入技术布尔盲注技术EXP函数利用通过EXP(709)正常返回与EXP(999)报错的特性构造布尔判断响应差异正确条件返回706长度错误条件返回722长度时间盲注技术SLEEP函数如IF(MID(database(),1,1)s,SLEEP(5),0)通过响应延迟判断条件触发仅当条件为真时执行延时函数通过响应时间差异确认结果爆破实战技巧Burp Suite配置数字参数使用Number类型payload步进值为1字符参数使用简单列表包含完整字符集结果分析按响应长度排序识别特殊长度值如706对应的正确结果效率优化已知长度后缩小爆破范围如确定8位后只需爆破1-8位防御规避策略过滤绕过等号过滤时使用LIKE、REGEXP关键词过滤时使用注释符分割或大小写变异无回显处理当页面无变化且长度无差异时优先考虑时间盲注技术2、时间盲注时间盲注原理与检测基本特征当页面无回显且响应长度无变化时可通过时间延迟判断注入点检测方法单/双引号测试输入和观察响应时间变化数学运算测试尝试1/1和1/0等运算观察延迟长度对比正常请求约48ms注入成功时出现明显延迟如3000ms核心函数使用sleep()函数制造时间差如sleep(3)表示延迟3秒返回时间盲注实战流程判断注入构造条件语句if(条件,sleep(3),0)条件成立则触发延迟示例if(11,sleep(5),0)应产生5秒延迟爆破配置在BurpSuite中添加Response received字段观察响应时间字符集设置小写a-z和数字0-9MySQL默认大小写不敏感结果分析时间差排序正常响应约48ms注入成功时出现秒级延迟注意毫秒级差异可能导致排序混乱需手动核对字符顺序盲注技巧与注意事项优化技巧合理设置延迟时间建议2-3秒避免过长等待对于14位长度的字段需按字符顺序手动核对结果常见误区无长度变化不代表不存在注入必须测试时间延迟网络延迟可能影响毫秒级判断需设置明显时间差扩展应用数据库名爆破先判断长度再用sleep()逐字符验证版本信息获取结合substr()和ascii()函数进行盲注盲注防御与绕过防御措施过滤sleep()、benchmark()等延时函数对数学运算符如/、%进行严格校验绕过方法使用select count(*) from information_schema.tables等重型查询制造延迟通过like模糊匹配替代等号判断利用rpad()或repeat()函数构造时间消耗操作七、另类获取数据的一些方式1、几何图形解析函数报错特性:当函数解析过程中找到存在的ID值时会返回包含该ID值的报错信息若ID不存在则会显示不知道的提示应用场景:可用于判断数据库中特定表(如users表)是否存在某个ID值2、SQL注释技巧井号问题:在某些SQL环境中直接使用#号注释会导致语法错误替代方案:使用URL编码23%代替井号使用双减号(--)进行注释原理说明: 23%是井号的URL编码形式在需要井号的场景下使用编码可避免报错3、内连接报错技术实现方法:使用JOIN关键字建立表与自身的内连接报错机制:相同列名会导致冗余系统会报重复列名错误通过逐个测试列名(username/password/ID等)可根据报错信息判断列是否存在示例语法:SELECT * FROM users a JOIN users b USING(ID)4、其他数据获取技巧LIMIT应用:可通过指定LIMIT值来获取报错中的特定数据表达式包含:使用表达式逐个包含查询的每一列可获取列存在性信息错误分析:通过观察报错信息中显示的重复列名可以推断出数据库中的实际列名八、UA注入1、UA注入UA头基本概念定义User-Agent(UA)头是HTTP请求头的一部分包含浏览器、操作系统和设备信息组成结构通常包含浏览器类型/版本、操作系统/版本、设备型号等信息存储情况大部分网站不会存储UA头但特定业务场景(如移动端适配)会存入数据库UA注入原理产生条件当网站将UA信息写入数据库时可能产生注入漏洞判断方法通过修改UA头添加特殊字符(如单引号)观察响应变化典型场景移动端适配检查、用户行为分析等业务场景注入POC构造方法一部分闭合构造思路仅闭合UA字段保留后续字段示例POC and extractvalue(1,concat(0x7e,user())) and 11适用场景当需要保持原始SQL语句结构时使用方法二完整重构构造思路注释掉原语句后续部分完整构造所有字段示例POC1,1,extractvalue(1,concat(0x7e,user())))#注意事项必须确保字段数量匹配注意括号闭合UA头业务用途用户分析统计用户设备/浏览器偏好安全防护识别恶意爬虫和机器人访问兼容性优化根据主流设备优化显示效果个性化内容区分移动端/PC端展示不同页面九、Refer字段注入Refer字段概念定义HTTP请求头中表示请求来源页面的字段业务用途主要用于广告追踪和流量来源分析存储特点广告类网站更可能存入数据库进行分析注入检测方法测试步骤正常请求观察响应长度添加单引号测试报错添加双引号验证闭合特征判断通过报错信息中的near提示判断字段数量POC构造注意事项注释符使用在URL中使用--在非URL字段中使用-- 需加空格和额外字符字段匹配必须确保构造的字段数量与原始SQL一致特殊字符避免直接使用加号应使用URL编码或替代方案与UA注入的异同相同点都是HTTP头注入检测方法和原理类似不同点Refer通常字段较少(2个)业务场景不同(广告分析vs用户分析)存储频率不同(Refer更少见)十、总结注入类型分类联合注入:通过UNION操作符将恶意查询与原始查询结果合并盲注:分为布尔盲注和时间盲注两种形式布尔盲注:根据页面返回的真假状态判断注入结果时间盲注:通过响应延迟判断注入条件是否成立UA注入:通过修改User-Agent头进行注入攻击自动化注入:使用工具自动探测和利用注入漏洞