SQL注入攻防实战：从环境搭建到高阶技巧

1. SQL注入攻防实战环境搭建指南

作为Web安全领域的经典漏洞，SQL注入至今仍是OWASP Top 10的常客。要真正掌握这门手艺，光看理论远远不够——这就是为什么安全从业者都需要一个像SQLi-Labs这样的实战靶场。这个用PHP+MySQL搭建的专项训练平台，包含了从GET型到POST型、从报错注入到盲注的65个渐进式挑战关卡，堪称SQL注入的"百科全书"。

我第一次接触SQLi-Labs是在五年前的渗透测试项目中，当时客户系统存在显错注入漏洞却苦于没有测试环境验证攻击链。后来在团队内部搭建了这个靶场后，新人的SQL注入检测效率提升了300%。下面分享从零搭建到高阶通关的全套经验，包含那些官方文档没写的实战技巧。

2. 环境部署与基础配置

2.1 系统需求与组件安装

靶场运行需要LAMP/WAMP环境：

• PHP 5.4+/7.x（需开启mysql/mysqli扩展）
• MySQL 5.5+（建议5.7版本）
• Apache/Nginx（推荐Apache的mod_rewrite）

在Ubuntu 20.04上的快速部署命令：

bash复制sudo apt install apache2 mysql-server php libapache2-mod-php php-mysql
git clone https://github.com/Audi-1/sqli-labs.git
sudo cp -r sqli-labs /var/www/html/

重要提示：务必修改/sqli-labs/sql-connections/db-creds.inc中的数据库密码，默认的security密码极不安全

2.2 数据库初始化陷阱规避

初次访问http://localhost/sqli-labs时，页面会提示初始化数据库。这里90%的人会遇到两个坑：

1. MySQL 8.0+默认使用caching_sha2_password认证，需改为mysql_native_password：

   sql复制ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'yourpassword';
   

2. 如果出现"DBMS Connection failed"错误，检查php.ini中是否启用mysql_socket：

   ini复制mysqli.default_socket = /var/run/mysqld/mysqld.sock
   

3. 核心漏洞类型深度解析

3.1 显错注入实战技巧（Lessons 1-22）

以经典的Lesson 1（GET-Error based-Single quotes）为例：

sql复制SELECT * FROM users WHERE id='$id' LIMIT 0,1

攻击载荷构造要点：

• 判断注入点：id=1'触发数据库报错
• 获取列数：order by 4报错说明共3列
• 联合查询位置：union select 1,2,3确认显示位

高阶技巧：

• 使用extractvalue()报错注入时，XPath语法错误可带出数据：

  sql复制and extractvalue(1,concat(0x7e,(select user()),0x7e))
  

• MySQL 5.7+版本利用updatexml()时需注意长度限制

3.2 盲注突破方法论（Lessons 5-6,8-10）

布尔盲注自动化推荐使用sqlmap的--technique=B参数，但手工测试时要注意：

python复制# 二分法判断语句模板
if (ascii(substr(database(),1,1)) > 100):
    # 返回正常页面
else:
    # 返回错误页面

时间盲注的黄金公式：

sql复制and if(ascii(substr(user(),1,1))=114,sleep(3),1)

实测发现：网络延迟会影响时间判断，建议设置基准响应时间（如?id=1 and 1=2）

4. 高阶通关秘籍

4.1 二次注入实战（Lesson 24）

这个关卡模拟了注册用户时的存储型注入：

1. 注册用户时注入单引号：admin'#
2. 修改密码时触发SQL语句：

   sql复制UPDATE users SET password='new_pass' WHERE username='admin'#' AND password='old_pass'
   

防御方案：

• 使用预编译语句
• 对所有用户输入统一转义
• 权限分离（修改密码单独使用高权限账户）

4.2 堆叠注入突破（Lesson 38）

利用;执行多条语句的特殊场景：

sql复制id=1';update users set password='hacked' where user='admin'--+

注意：PHP的mysql_query()默认不支持多语句，需改用mysqli_multi_query()

5. 防御体系构建

5.1 代码层防护

php复制// 参数化查询示例
$stmt = $conn->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $id);

5.2 WAF规则示例（ModSecurity）

apache复制SecRule ARGS "@detectSQLi" "id:1000,phase:2,deny,status:403"

5.3 运维层加固

• 定期审计数据库权限
• 开启MySQL通用查询日志
• 使用HIDS监控异常SQL语句

6. 靶场进阶改造建议

为了让训练更贴近实战，我通常会做这些改造：

1. 在Lessons 54-65中添加Cloudflare WAF规则
2. 修改部分关卡为JSON API接口形式
3. 增加过滤函数模拟真实CMS场景：

   php复制function waf($input){
       return preg_replace('/union|select|sleep/i','',$input);
   }
   

这个靶场我前后搭建过17次，最深刻的体会是：SQL注入的本质是"数据与指令的混淆"。真正安全的系统应该在架构设计时就做好隔离，而不是依赖后期的过滤补丁。建议每个关卡通关后都对比查看服务端代码，理解漏洞产生的根源比单纯学会攻击手法更重要。