1. 二次注入与报错注入的核心原理二次注入就像是一个潜伏的特工它不会在第一次接触时就暴露自己。想象这样一个场景你在网站注册时输入了一个恶意用户名系统当时没有表现出任何异常。但当你后续修改密码时这个潜伏的恶意代码突然被激活这就是典型的二次注入攻击。在SQLI-labs第十七关中这个特工藏在密码修改环节。系统先用SELECT语句验证用户名此时注入被过滤函数拦截。但当验证通过后执行UPDATE语句时之前看似无害的输入突然变成了危险的注入代码。这种延迟触发的特性让二次注入特别隐蔽常规的WAF很难在第一时间发现。报错注入则是利用数据库的说漏嘴特性。就像你故意问朋友一个荒谬的问题你昨天偷了多少钱朋友可能会下意识反驳我根本没偷钱从而暴露信息。extractvalue()和updatexml()这两个函数就是这样的诱导大师当它们接收到不符合XML格式的数据时就会把数据库信息连带错误一起吐出来。2. 实战环境搭建与注入点判断先确保你的实验环境已经准备好docker pull acgpiano/sqli-labs docker run -dt --name sqli-labs -p 80:80 acgpiano/sqli-labs打开Burp Suite抓包登录界面随便输入账号密码把POST请求发送到Repeater。这里有个细节要注意现代浏览器会自动URL编码但Burp的Repeater默认不编码所以直接修改参数时要注意特殊字符的处理。测试注入点时我习惯用阶梯式探测法先试admin看是否报错然后试admin--观察行为变化最后用admin#确认注释效果在第十七关你会发现用户名字段被严格过滤但密码字段的报错提示暴露了关键信息。这里有个坑要注意MySQL的注释符#在URL中需要编码为%23否则会被当作锚点处理。3. 数据库信息提取实战确认注入点后就可以开始提取数据库信息了。这里我推荐使用extractvalue()而不是updatexml()因为前者在MySQL中的兼容性更好。实战中遇到过一个案例某CMS的updatexml()会被过滤但extractvalue()却能正常使用。获取数据库名的payloadunameadminpasswd1 and extractvalue(1,concat(0x7e,database()))#这个payload有几个设计要点0x7e是波浪号~的十六进制用作错误信息的分隔符第一个参数1是随便写的数字重点是第二个参数concat()函数把数据库名和特殊字符拼接触发报错获取表名时需要特别注意limit分页unameadminpasswd1 and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schemadatabase() limit 0,1)))#我遇到过的一个真实漏洞某系统在limit 10,1时返回超时后来发现是因为数据量太大。解决方法是用limit 100,1跳过前面的记录。4. 表结构探测与数据提取知道表名后获取字段名的技巧很关键。以users表为例unameadminpasswd1 and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 0,1)))#这里有个实用技巧用hex(table_name)代替直接的表名可以绕过某些过滤。比如unameadminpasswd1 and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_name0x7573657273 limit 0,1)))#提取数据时最容易遇到的坑是同表查询限制。MySQL不允许在修改表的同时查询该表这就是为什么教程建议查emails表而不是users表。解决方法是用子查询或者临时表unameadminpasswd1 and extractvalue(1,concat(0x7e,(select (select username from users limit 0,1))))#5. 防御方案与实战思考开发角度防御二次注入我总结出三个关键点数据生命周期全程过滤不仅是入库时使用预编译语句时所有变量都必须参数化最小权限原则修改操作使用只读账号查询在测试过程中我发现几个有趣的变种时间盲注版当报错被屏蔽时可以用sleep()函数判断多语句注入某些配置下可以用;分隔执行多个语句日志注入把报错信息写入日志再通过其他接口读取最后提醒一个容易忽略的点测试完记得恢复数据。有次我忘记修改回来导致后来测试其他漏洞时一直失败排查了半天才发现是之前的测试数据影响了判断。
SQLI-labs 第十七关:POST二次注入与报错注入实战解析
1. 二次注入与报错注入的核心原理二次注入就像是一个潜伏的特工它不会在第一次接触时就暴露自己。想象这样一个场景你在网站注册时输入了一个恶意用户名系统当时没有表现出任何异常。但当你后续修改密码时这个潜伏的恶意代码突然被激活这就是典型的二次注入攻击。在SQLI-labs第十七关中这个特工藏在密码修改环节。系统先用SELECT语句验证用户名此时注入被过滤函数拦截。但当验证通过后执行UPDATE语句时之前看似无害的输入突然变成了危险的注入代码。这种延迟触发的特性让二次注入特别隐蔽常规的WAF很难在第一时间发现。报错注入则是利用数据库的说漏嘴特性。就像你故意问朋友一个荒谬的问题你昨天偷了多少钱朋友可能会下意识反驳我根本没偷钱从而暴露信息。extractvalue()和updatexml()这两个函数就是这样的诱导大师当它们接收到不符合XML格式的数据时就会把数据库信息连带错误一起吐出来。2. 实战环境搭建与注入点判断先确保你的实验环境已经准备好docker pull acgpiano/sqli-labs docker run -dt --name sqli-labs -p 80:80 acgpiano/sqli-labs打开Burp Suite抓包登录界面随便输入账号密码把POST请求发送到Repeater。这里有个细节要注意现代浏览器会自动URL编码但Burp的Repeater默认不编码所以直接修改参数时要注意特殊字符的处理。测试注入点时我习惯用阶梯式探测法先试admin看是否报错然后试admin--观察行为变化最后用admin#确认注释效果在第十七关你会发现用户名字段被严格过滤但密码字段的报错提示暴露了关键信息。这里有个坑要注意MySQL的注释符#在URL中需要编码为%23否则会被当作锚点处理。3. 数据库信息提取实战确认注入点后就可以开始提取数据库信息了。这里我推荐使用extractvalue()而不是updatexml()因为前者在MySQL中的兼容性更好。实战中遇到过一个案例某CMS的updatexml()会被过滤但extractvalue()却能正常使用。获取数据库名的payloadunameadminpasswd1 and extractvalue(1,concat(0x7e,database()))#这个payload有几个设计要点0x7e是波浪号~的十六进制用作错误信息的分隔符第一个参数1是随便写的数字重点是第二个参数concat()函数把数据库名和特殊字符拼接触发报错获取表名时需要特别注意limit分页unameadminpasswd1 and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schemadatabase() limit 0,1)))#我遇到过的一个真实漏洞某系统在limit 10,1时返回超时后来发现是因为数据量太大。解决方法是用limit 100,1跳过前面的记录。4. 表结构探测与数据提取知道表名后获取字段名的技巧很关键。以users表为例unameadminpasswd1 and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_nameusers limit 0,1)))#这里有个实用技巧用hex(table_name)代替直接的表名可以绕过某些过滤。比如unameadminpasswd1 and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schemadatabase() and table_name0x7573657273 limit 0,1)))#提取数据时最容易遇到的坑是同表查询限制。MySQL不允许在修改表的同时查询该表这就是为什么教程建议查emails表而不是users表。解决方法是用子查询或者临时表unameadminpasswd1 and extractvalue(1,concat(0x7e,(select (select username from users limit 0,1))))#5. 防御方案与实战思考开发角度防御二次注入我总结出三个关键点数据生命周期全程过滤不仅是入库时使用预编译语句时所有变量都必须参数化最小权限原则修改操作使用只读账号查询在测试过程中我发现几个有趣的变种时间盲注版当报错被屏蔽时可以用sleep()函数判断多语句注入某些配置下可以用;分隔执行多个语句日志注入把报错信息写入日志再通过其他接口读取最后提醒一个容易忽略的点测试完记得恢复数据。有次我忘记修改回来导致后来测试其他漏洞时一直失败排查了半天才发现是之前的测试数据影响了判断。
