PortSwigger SQL注入实验室(一)
利用WHERE子句漏洞检索未发布产品
本实验来自 PortSwigger Web Security Academy。是 SQL 注入系列的第一个基础实验,目标是通过分析URL参数与页面响应,推测SQL查询结构并构造注入载荷,最终获取未发布产品的数据。
通过该实验可以理解:当应用程序将用户输入直接拼接到 SQL 查询中且未做恰当处理时,攻击者能够篡改原始查询逻辑,获取未授权数据。
产品类别筛选功能存在 SQL 注入漏洞。应用程序在用户选择类别时执行如下查询:
SELECT * FROM products WHERE category = 'Gifts' AND released = 1利用注入漏洞让数据库返回一个或多个未发布的产品(即
released = 0 的数据)。
1. 原始查询逻辑分析
题目提供的 SQL 语句:
SELECT * FROM products WHERE category = 'Gifts' AND released = 1该查询从 products 表中选取所有列,条件为:
▸ 类别 (category) 等于 'Gifts';
▸ 且 released 字段值为 1(表示已发布)。
我们的攻击目标是绕过 released = 1 的限制,使数据库同时返回 released = 0 的未发布产品。
2. 初步观察与逻辑推测
启动实验室,可以看到一个典型的购物页面,提供了一个“Refine your search”分类筛选功能。
点击任意分类(如 Accessories),页面仅展示该类别下已发布的产品,观察到地址栏变为:
/filter?category=Accessories
此时我们虽然看不到后台代码,但根据题目提示可以合理推测的后台查询模板为:
SELECT * FROM products WHERE category = '[用户输入]' AND released = 1用户的输入 Accessories 被直接放入单引号内。
3. 漏洞验证
尝试破坏查询语法:将 category 参数改为一个单引号。
/filter?category='页面返回 Internal Server Error,说明后端 SQL 语句因多出一个单引号而语法错误。
据此可进一步推测:
错误发生时的SQL结构:
SELECT * FROM products WHERE category = ''' AND released = 1—— 输入的单引号提前闭合了字符串,导致后续 AND released = 1 成为游离文本,引发语法错误。
4. 构造攻击载荷(Payload)
为了获取所有产品(包括未发布的),需要消除 category 限制并跳过 released = 1 条件。
4.1 使用注释符消除尾部条件
初步尝试使用注释 -- (注意:MySQL 中 -- 后需加空格;此处实验环境为通用 SQL 语法,-- 后跟任意字符即可)。假设我们提交:' --
则查询变为:
SELECT * FROM products WHERE category = '' -- AND released = 1这样虽然注释掉了 released 条件,但 category = '' 依然生效,只会返回类别为空字符串的产品(通常不存在)。因此我们需要让 category 条件也失去约束力。
4.2 引入 OR 永真条件
我们需要让整个 WHERE 子句恒为真。在注释之前添加 OR 1=1:
推测拼接出的 SQL 语句变为:
SELECT * FROM products WHERE category = '' OR 1=1 -- AND released = 1逻辑分析:
category = ''为假;1=1永远为真,通过OR连接使得整个条件恒成立;- 注释符
--使后面的AND released = 1失效。
因此,该 Payload 将返回 products 表中的全部记录,包括未发布产品。
4.3 执行最终请求
在浏览器地址栏输入(空格可用 + 替代):
/filter?category='+OR+1=1+--+
页面显示了原本隐藏的未发布产品,实验目标达成。
【本题最终Payload】
URL 中使用时注意空格编码:' OR 1=1 --+ 或 ' OR 1=1 --%20
5. 总结与防御建议
本实验是一次典型的 基于布尔条件的 WHERE 子句注入(未使用 UNION)。根本原因在于:
- 用户输入与 SQL 语句通过字符串拼接;
- 未对单引号等特殊字符进行转义或过滤;
- 未采用参数化查询(Prepared Statement)。
防御措施:
- 参数化查询 —— 将数据与代码彻底分离;
- 输入校验 —— 限制 category 参数仅允许字母数字;
- 最小权限原则 —— 应用数据库账户仅授予必要权限。
这个实验虽然简单,但清晰地揭示了 SQL 注入的核心原理。后续的实验中我将继续深入学习探索联合查询(UNION)攻击、盲注等高级技巧。
博客园技术分享 · 请勿用于非法测试