PortSwigger SQL注入LAB 1

PortSwigger SQL注入实验室(一)
利用WHERE子句漏洞检索未发布产品

本实验来自 PortSwigger Web Security Academy。是 SQL 注入系列的第一个基础实验,目标是通过分析URL参数与页面响应,推测SQL查询结构并构造注入载荷,最终获取未发布产品的数据。

通过该实验可以理解:当应用程序将用户输入直接拼接到 SQL 查询中且未做恰当处理时,攻击者能够篡改原始查询逻辑,获取未授权数据。

实验描述截图

【实验目标】
产品类别筛选功能存在 SQL 注入漏洞。应用程序在用户选择类别时执行如下查询:
SELECT * FROM products WHERE category = 'Gifts' AND released = 1
利用注入漏洞让数据库返回一个或多个未发布的产品(即 released = 0 的数据)。

1. 原始查询逻辑分析

题目提供的 SQL 语句:

SELECT * FROM products WHERE category = 'Gifts' AND released = 1

该查询从 products 表中选取所有列,条件为:
  ▸ 类别 (category) 等于 'Gifts'
  ▸ 且 released 字段值为 1(表示已发布)。
我们的攻击目标是绕过 released = 1 的限制,使数据库同时返回 released = 0 的未发布产品

2. 初步观察与逻辑推测

启动实验室,可以看到一个典型的购物页面,提供了一个“Refine your search”分类筛选功能。

实验主页

点击任意分类(如 Accessories),页面仅展示该类别下已发布的产品,观察到地址栏变为:

/filter?category=Accessories

URL变化

此时我们虽然看不到后台代码,但根据题目提示可以合理推测的后台查询模板为:

SELECT * FROM products WHERE category = '[用户输入]' AND released = 1

用户的输入 Accessories 被直接放入单引号内。

3. 漏洞验证

尝试破坏查询语法:将 category 参数改为一个单引号。

/filter?category='

页面返回 Internal Server Error,说明后端 SQL 语句因多出一个单引号而语法错误。

单引号触发错误

据此可进一步推测:
错误发生时的SQL结构

SELECT * FROM products WHERE category = ''' AND released = 1

—— 输入的单引号提前闭合了字符串,导致后续 AND released = 1 成为游离文本,引发语法错误。

由此可得:该位置存在 SQL 注入漏洞,且注入点为单引号字符串上下文。

4. 构造攻击载荷(Payload)

为了获取所有产品(包括未发布的),需要消除 category 限制并跳过 released = 1 条件。

4.1 使用注释符消除尾部条件

初步尝试使用注释 -- (注意:MySQL 中 -- 后需加空格;此处实验环境为通用 SQL 语法,-- 后跟任意字符即可)。假设我们提交:' --
则查询变为:

SELECT * FROM products WHERE category = '' --  AND released = 1

这样虽然注释掉了 released 条件,但 category = '' 依然生效,只会返回类别为空字符串的产品(通常不存在)。因此我们需要让 category 条件也失去约束力。

4.2 引入 OR 永真条件

我们需要让整个 WHERE 子句恒为真。在注释之前添加 OR 1=1

推测拼接出的 SQL 语句变为:

SELECT * FROM products WHERE category = '' OR 1=1 --  AND released = 1

逻辑分析:

  • category = '' 为假;
  • 1=1 永远为真,通过 OR 连接使得整个条件恒成立;
  • 注释符 -- 使后面的 AND released = 1 失效。

因此,该 Payload 将返回 products 表中的全部记录,包括未发布产品。

4.3 执行最终请求

在浏览器地址栏输入(空格可用 + 替代):

/filter?category='+OR+1=1+--+

攻击成功返回所有产品

页面显示了原本隐藏的未发布产品,实验目标达成。

【本题最终Payload】

' OR 1=1 --

URL 中使用时注意空格编码:' OR 1=1 --+' OR 1=1 --%20

5. 总结与防御建议

本实验是一次典型的 基于布尔条件的 WHERE 子句注入(未使用 UNION)。根本原因在于:

  • 用户输入与 SQL 语句通过字符串拼接;
  • 未对单引号等特殊字符进行转义或过滤;
  • 未采用参数化查询(Prepared Statement)。

防御措施:

  • 参数化查询 —— 将数据与代码彻底分离;
  • 输入校验 —— 限制 category 参数仅允许字母数字;
  • 最小权限原则 —— 应用数据库账户仅授予必要权限。

这个实验虽然简单,但清晰地揭示了 SQL 注入的核心原理。后续的实验中我将继续深入学习探索联合查询(UNION)攻击、盲注等高级技巧。

博客园技术分享 · 请勿用于非法测试

posted @ 2026-04-15 18:45  C2H5OH  阅读(42)  评论(0)    收藏  举报