SQL 注入是最常见、最被人们熟知的 web 漏洞。根据百科的解释：所谓SQL注入，就是通过把SQL命令，插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

比如某个公司有一个员工管理系统，里面存储员工的许多信息，每个员工只要输入自己的工号就可查询自己相关信息。张三是这个公司的一个开发人员，他突发好奇的想输入李四的工号10001是否可以成功查询，结果他失败了，因为系统有工号和身份的互相校验。于是他在工号后面加上了一个' OR 'a'='a，没想到成功返回了数据，他成功获取到了他人的许多敏感信息。

这就是 SQL 注入攻击的典型场景，由于程序员在开发数据库中，没有对用户输入数据进行校验、转义、限制等处理，导致攻击者可以通过输入恶意字符串去获取数据库中的数据。先前的很多影视网站的 VIP 会员密码就是通过类似的方式泄漏的。

今天我们测试对一个有 SQL 注入漏洞的网站进行攻击。因为类似的渗透测试过程在没有经过对方允许的情况下，是属于违法的！所以我们为大家准备了实验环境和靶机，你可以拿它当小白鼠，点击阅读原文即可体验。

SQL 注入攻击步骤

通常来说，SQL 注入攻击可以分为以下 5 个步骤：

• 寻找注入点：指找到存在 SQL 注入的参数，SQL 注入大多发生在 GET 或 POST 请求的参数中，当然也有可能发生在其他地方，例如 UserAgent、Cookie 等

• 判断注入类型 / 数据库类型：SQL 注入按照不同的分类标准，可以分成不同的种类。

• 按照参数类型可分为两种：数字型和字符型。

• 根据数据库返回的结果，可分为回显注入、报错注入、盲注。

• 按照注入方法，还可以分为联合注入、堆叠注入、宽字节注入、延时注入等。

• 猜解数据库名：猜解后台数据库的库名

• 猜解数据表名：成功猜解到数据库名称后，进一步猜解某一个特定数据库中数据表的名称

• 猜解数据字段名：最后是某个特定数据库中特定数据表中的字段，因为获取到字段才能查询数据

使用SQL 注入进行爆库 

我们先通过一个实验，让你更加清楚的理解 SQL 注入攻击的全过程，然后再针对「如何寻找注入点」和「如何判断注入类型」这两部分做详细的讲解。

首先，在终端中执行如下命令快速部署实验环境：

然后打开桌面上的 Firefox 浏览器，访问以下网址 :

点击 create/Reset Database 创建数据库：

稍微等待几秒后，会自动跳转到登录界面，默认用户名为 admin 密码为 password。

为了让我们更容易理解 SQL 注入的原理，所以先手动将 Security 级别调整为 low，注意需要点击 Submit 使设置生效：

第一步：寻找注入点

点击左侧的 SQL injection 页面开始注入：

先输入 1 ，查看回显 （URL 中 ID=1，说明 php 页面通过 get 方法传递参数）：

那实际上后台执行了什么样的 SQL 语句呢？点击 view source 查看源代码：

可以看到，实际执行的 SQL 语句是：

在参数 id 后面加一个单引号试试：

可以看到，返回了数据库报错信息，说明此处存在 SQL 注入漏洞。

至于为什么能判断存在 SQL 注入，后文会细讲。

第二步：确定注入类型

我们使用最简单的「联合查询注入」来进行演示。联合查询的语法如下：

union 运算符可以将两个或两个以上 select 语句的查询结果集合合并成一个结果集合显示，即执行联合查询。但当使用 union select 的时候，需要保证前后查询的列数相同，例如：

Union 前半部分查询了 A、B 两个字段，Union 后半部分也只能查询 C、D 两个字段，否则就会报错。但现在有一个问题：我们还不知道 Union 的前半部分查询的字段数是多少？这个时候就需要用到 order by 来查询字段数了。在输入框中输入 1' order by 1#，实际执行的 SQL 语句就会变成:

这条语句的意思是查询 users 表中 user_id 为 1 的数据并按第一字段排行。输入 1' order by 1# 和 1' order by 2# 时都返回正常：

当输入 1' order by 3# 时，返回错误：

由此可知，users 表中只有两个字段，数据为两列。知道字段数为 2 之后，接下来就可以使用 union select 联合查询继续获取信息。输入以下进行查询：

• version() 获取当前数据库版本.

• @@version_compile_os 获取当前操作系统。

实际执行的 SQL 语句是:

通过上图返回信息，我们又成功获取到：

• 当前数据库版本为 : 10.5.8-MariaDB-1:10.5.8+maria~focal

• 当前操作系统为 : debian-linux-gnu

第三步：查询数据库名

查询数据库名的方法非常简单，只需要执行以下语句进行查询即可 ：

• database() 将会返回当前网站所使用的数据库名字.

• user() 将会返回执行当前查询的用户名.

实际执行的 SQL 语句是 :

通过上图返回信息，我们成功获取到：

• 当前网站使用数据库为 dvwa

• 当前执行查询用户名为 root@localhost

第四步：查询数据库表名

接下来我们尝试获取 dvwa 数据库中的表名。information_schema 是 mySQL 自带的一张表，这张数据表保存了 MySQL 服务器所有数据库的信息，如数据库名，数据库的表，表栏的数据类型与访问权限等。该数据库拥有一个名为 tables 的数据表，该表包含两个字段 table_name 和 table_schema，分别记录 DBMS 中的存储的表名和表名所在的数据库。

我们输入以下语句进行查询：

实际执行的 SQL 语句是：

• dvwa 数据库有 2 个数据表

• 表名为 guestbook 和 users

第五步：猜解数据库字段名及爆库

接下来我们继续猜解数据库表中的字段名，因为需要知道字段名，才能查询数据库中存储的数据。我们输入以下语句查询 users 表中的字段信息：

从输出结果可知，users 表中有 8 个字段，分别是 user_id,first_name,last_name,user,password,avatar,last_login,failed_login。直接告诉我们，这些字段中最敏感的是 user,password 这两个字段，所以输入：1' union select user,password from users#进行查询。实际执行的 SQL 语句是：

可以看到成功爆出用户名、密码，密码采用 md5 进行加密，可以到 https://www.cmd5.com/ 查询解密：

总结

通过实战的演练，相信大家已经理解了通过 SQL 注入来爆破数据库的方法和流程，最后我们再梳理一下比较重要的知识点：

• SQL 注入产生的原因

• SQL 注入攻击的分类

• SQL 注入爆库攻击的 5 个步骤