SQL注入之时间盲注相关
SQL注入之时间盲注
今天在通过靶场复习SQL注入时,突然发现了一个关于时间盲注的问题。就是在关于时间盲注的适用场景相关。然后我关于这个问题在网上进行了相关检索,发现大多数关于时间盲注的文章都没有提到这个问题。于是决定写下这篇文章,目的在于谈一谈我对这个问题的认识,同时也是我的一个疑问。因此也希望有大佬如果看过这篇文章能够给我解答一下这个问题。
问题描述
在打sqli-labs靶场less-13的时候发现这一关在注入成功后没有数据的回显。但是失败有报错显示,因此首先就会想到用报错注入,或者根据成功或失败显示利用布尔盲注。
但是我突然想能不能用时间盲注呢?然后问题就出来了。
具体问题表现就是我发现,当注入点对应的SQL语句中的条件参数为username字段时,时间盲注是不能成功的,但是条件参数为id字段时又可以成功。
最终结论
在这里我先给出我对于这个问题的认识。我认为时间盲注在注入点对应sql语句处的条件参数为id字段或者其他肯定存在值的字段时是适用的,例如大多数表中都存在id字段,存在id字段那么大概率就会存在id=1或者id=2等等,但是在条件参数为username或者password这类不能说一定存在username=zhangsan时就不太适用了。原因请看问题复现。
问题复现
如下为less13
如下为less13源码中的sql语句,可以发现参数为username。
@$sql="SELECT username, password FROM users WHERE username=('$uname') and password=('$passwd') LIMIT 0,1";
为了避免是判断失误,因此我将less9时间盲注关卡的源码也进行了更改,如下。
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; // 更改之前
$sql="SELECT * FROM users WHERE username='$username' LIMIT 0,1"; // 更改之后
如下为less9中操作,同样发现并没有成功,因此可以说明我的判断是正确的。
那为什么会出现这个问题呢,经过我直接在数据库中通过构造sql语句进行尝试。
select username,password from users where username=('1') and sleep(3);
SELECT username,password FROM users WHERE username=('1') or sleep(3);
发现当username的参数值不存在时,对于第一个sql来说and之前的表达式已经为false,因此sleep就不会再执行。这是由于and运算符的短路特性。
而对于第二个sql来说由于是or运算符,因此只要or之前的表达式为false,就会执行or之后的表达式,而sleep()为延时函数恒成立,因此就会一直执行下去,至于参数为什么失效,我还没有搞清楚。希望有大佬可以解答。
最后,这是我第一次写文章,有写的不好的地方还希望大家可以指出来,以后多多改正,然后关于这个问题希望也有大佬可以解答。