PortSwigger SQL注入LAB3

库类型与版本信息，并在页面中回显版本字符串。

通过该实验可以理解：UNION 注入攻击的基本流程——包括判断注入点、探测原始查询的列数、使用 NULL 占位符对齐列数，以及如何针对 Oracle 数据库的系统视图（如v$version）构造查询语句以获取系统信息。

【实验目标】
该实验的产品类别过滤器中存在 SQL 注入漏洞。
利用该漏洞，使用 UNION 攻击获取数据库版本字符串。

1. 启动实验环境与 Burp Suite

启动实验环境后，可以看到与前几个 LAB 相似的购物页面。本次实验的注入点位于页面中的产品类别过滤器。

接下来启动 Burp Suite，进入Proxy模块下的HTTP history子页面。当浏览器中的代理配置生效后，此处将开始记录所有 HTTP 流量。

确认注入点位于过滤器后，就可以直接开始抓取并分析请求。

2. 开启代理并抓取过滤请求

启用浏览器中已配置好的 Burp Suite 代理，准备捕获过滤器请求。

先随意点击一个分类选项，观察 Burp Suite 中捕获到的数据：

根据路径特征（/filter?category=...），可以快速锁定产品类别过滤器对应的请求记录。

接下来我们右键将它发送至Repeater模块，以便后续进行重放与修改测试。

3. 分析请求数据并推测后端 SQL 逻辑

该请求是 GET 参数注入场景，核心请求行为可概括为：GET /filter?category=Pets HTTP/2。据此可推测后端可能执行类似查询：

SELECT * FROM products WHERE category = 'Pets'

4. 构造注入攻击

4.1 定位注入点

要破坏上述查询语句的原有逻辑，可先像之前一样利用单引号'测试字符串边界。尝试在Pets后追加一个单引号，则查询可能变为：

SELECT * FROM products WHERE category = 'Pets''

这会触发 SQL 语法错误。我们在 Repeater 中将category的值改为Pets'并发送请求：

服务器返回500 Internal Server Error，说明单引号被带入 SQL 语句并破坏语法，注入点得到确认。

4.2 为什么不能直接写 UNION

题目已给出目标数据库为Oracle，因此我们需要注入类似SELECT banner FROM v$version的查询。但不能直接写成：

' UNION SELECT banner FROM v$version --

原因是：UNION 两侧 SELECT 的列数必须一致。若列数不一致，数据库会报错。

4.3 什么是“列”

在数据库表中，列（column）就是字段。比如下面这个建表示例中，id、name、age就是 3 列：

CREATE TABLE student ( id INT, name VARCHAR(20), age INT );

回到本实验，后端查询里使用了SELECT *，表示取出该表的所有列。UNION 注入时，右侧SELECT必须返回相同列数，否则会报错。

4.4 使用 ORDER BY 探测列数

由于无法直接看到后端查询列数，我们可以用ORDER BY n逐步探测：

• 先尝试' ORDER BY 1--
• 再尝试' ORDER BY 2--
• 继续尝试' ORDER BY 3--...

当某个 n 导致报错时，说明该位置超出列范围，列数即为n-1。

在本实验中，当ORDER BY 3报错，说明原查询共有2 列。因此 UNION 语句也必须返回 2 列。

4.5 对齐列数并读取版本信息

既然目标查询需要 2 列，那么可以用NULL作为占位，构造如下 UNION 语句：

SELECT * FROM products WHERE category = '' UNION SELECT NULL, banner FROM v$version --

4.6 构造最终 Payload

各组成部分的作用如下：

• '：闭合原 SQL 字符串。
• UNION SELECT：拼接注入查询结果。
• NULL, banner：对齐 2 列，并让版本信息出现在可回显列中。
• FROM v$version：读取 Oracle 版本信息。
• --：注释掉原查询后续内容。

最终可使用的请求示例：

GET /filter?category=' UNION SELECT NULL,banner FROM v$version-- HTTP/2

4.7 执行攻击请求

在 Repeater 中将category参数修改为' UNION SELECT NULL,banner FROM v$version--，点击Send发送：

返回200 OK说明语法层面可执行。随后切换到浏览器访问对应 URL：

可以看到页面成功回显数据库版本字符串，右上角也显示LAB Solved，实验目标达成。

【本题最终 Payload】

' UNION SELECT NULL,banner FROM v$version--

5. 总结与防御建议

本实验是一次典型的基于 UNION 联合查询的 SQL 注入攻击。其根本成因包括：

• 产品类别过滤器参数被直接拼接到 SQL 语句中，未做安全处理；
• 应用将数据库错误直接回显给客户端，为列数探测提供反馈；
• 未采用参数化查询（Prepared Statement）或 ORM 安全接口。

防御措施：

• 参数化查询—— 将 SQL 代码与用户数据彻底分离；