Bugku SQL注入实战：绕过黑名单的5种骚操作（附完整Payload）

Bugku SQL注入高阶技巧：突破黑名单的实战艺术

在网络安全攻防演练中，SQL注入始终占据着OWASP Top 10的重要位置。而真实环境中的防御机制往往比CTF题目更加复杂，其中黑名单过滤是最常见的防护手段之一。本文将深入剖析五种突破黑名单限制的创造性方法，每种技巧都附带可直接复现的Payload示例。

1. 黑名单过滤机制深度解析

现代Web应用通常采用多层防御策略来阻止SQL注入攻击。以Bugku平台这道题为例，其防护逻辑主要体现在is_trying_to_hak_me()函数中：

function is_trying_to_hak_me($str) { $blacklist = ["select", "union", "and", "or", "where", "from"]; if (preg_match("/[^0-9a-zA-Z]'[^0-9a-zA-Z]/", $str)) { return true; } foreach ($blacklist as $keyword) { if (stripos($str, $keyword) !== false) { return true; } } return false; }

这个过滤机制有三个关键特征：

1. 关键词黑名单：包括SELECT、UNION等常见SQL关键字
2. 单引号检测：通过正则表达式检查单引号的使用方式
3. 大小写不敏感：使用stripos而非strpos进行匹配

注意：黑名单过滤的最大弱点在于"已知的未知"——它只能防范已知的攻击模式，对未知变体无能为力。

2. 字符编码与变形技术

2.1 十六进制编码绕过

将SQL关键词转换为十六进制表示是最基础的绕过方式：

SELECT * FROM users → 0x53454c454354202a2046524f4d207573657273

实际Payload示例：

1' UNION SELECT 1,2-- → 1' 0x554e494f4e 0x53454c45435420312c322d2d

2.2 URL编码与多重编码

利用URL编码可以拆分关键词：

union → %75%6e%69%6f%6e

更高级的多重编码：

select → %2573%2565%256c%2565%2563%2574

2.3 Unicode规范化攻击

利用Unicode等价性制造混淆：

SELECT → ＳＥＬＥＣＴ (全角字符)

3. 注释符的创造性应用

3.1 内联注释拆分

MySQL特有的/**/注释可以拆分关键词：

SEL/*任意内容*/ECT

实际案例：

1' UNI/**/ON SEL/**/ECT 1,'4fc82b...$1'--

3.2 注释符替代空格

当空格被过滤时可用注释替代：

SELECT*FROM[users] → SELECT/**/FROM/**/[users]

3.3 版本特异性注释

利用数据库版本特性：

/*!50000select*/ → 仅MySQL 5.0.0以上版本执行

4. 字符串拼接与非常规语法

4.1 字符串拼接绕过

利用CONCAT函数构建关键词：

CONCAT('sel','ect') → 等效于select

4.2 算术运算替代逻辑运算

当AND/OR被过滤时：

1 AND 1=1 → 1-0=1

4.3 位运算替代布尔逻辑

OR 1=1 → |1

5. 上下文感知型注入技巧

5.1 二次注入利用

即使当前输入被过滤，可能被存储后再次使用时生效：

注册用户名：admin'-- 后续查询时生效

5.2 参数污染攻击

利用参数重复覆盖：

?user=admin&user=admin'--

5.3 JSON/XML注入

现代API常用格式中的注入点：

{"user":"admin'--","pass":"123"}

6. 实战Payload库

下表总结了可直接复用的Payload模板：

7. 防御建议与最佳实践

虽然本文重点在攻击技巧，但负责任的安全研究必须包含防御方案：

1. 白名单优于黑名单：采用严格的输入验证
2. 参数化查询：使用预处理语句
3. 最小权限原则：数据库账户限制权限
4. 深度防御：结合WAF、输入过滤、输出编码

在最近的一次渗透测试中，我们发现某系统虽然过滤了UNION SELECT，但允许UNION ALL SELECT这种变体。这种防御缺口正是由于黑名单的不完整性导致的。