MYSQL——时间盲注BENCHMARK()

已于 2024-01-31 17:09:27 修改
阅读量3.1k 收藏 13
点赞数 4
文章标签: mysql 数据库 sql
于 2021-09-20 19:18:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51330619/article/details/120392450
版权

MySQL是一个开源的关系型数据库管理系统(RDBMS),它使用结构化查询语言(SQL)作为数据操作的标准语言。MySQL的名称由“My”和“SQL”两个单词组成,其中“My”是创始人Michael Widenius的女儿的名字,而“SQL”是结构化查询语言的缩写。

MySQL的特点是速度快、稳定、易用、灵活和可扩展。MySQL可以运行在多种操作系统上,如Windows、Linux、Mac OS等,也可以与多种编程语言配合使用,如PHP、Java、Python等。MySQL还提供了多种存储引擎、事务处理、复制、分区、全文索引等高级功能,满足不同的应用需求。

MySQL的应用领域非常广泛,它可以用来开发各种类型的网站和应用程序,如电子商务、社交网络、博客、论坛、新闻、游戏等。MySQL也是许多知名的互联网公司和组织的选择,如Facebook、Google、Twitter、Wikipedia等。

先上图看效果

1' union select 1,BENCHMARK(500000000,(select user from users limit 0,1))#

在这里插入图片描述
可见benchmark()函数是可以造成延时的。

简介:
它是MySQL的一个内置函数,用于测试函数或者表达式的执行速度。
其运行返回值都是0,仅仅会执行显示时间。

用法:benchmark(重复次数, 执行的函数)

例如:将select database()执行100000000次,显示耗时0.52sec

SELECT BENCHMARK(100000000,(select database()));

39c4955a9f854b5515d3dc9.png)
了解了基础用法,我们来看看在盲注利用时的相关特性:

特性1:无论benchmark()内的函数或表达式语句执行结果为True、False、Null,他都会正常执行。

SELECT BENCHMARK(100000000,(1=1));
SELECT BENCHMARK(100000000,(1=2));
SELECT BENCHMARK(100000000,(null));

在这里插入图片描述
看到这里可能会认为这个函数没有用,笔者当时也这样子觉得,但是却发现了他的另外两个特性

特性2:仅支持查询单行单列的结果,如果存在单行单列的执行结果,则可以正常执行,反之则报错,执行失败。

select user from users
SELECT BENCHMARK(100000000,(select user from users));
SELECT BENCHMARK(100000000,(select user from users limit 0,1));

在这里插入图片描述
可以看到当返回结果为多行单列时,直接报错。
当限制返回结果为单行单列时,成功执行。

特性3:当benchmark()内的语句运行失败时,benchmark同样执行失败。

 show columns from users;
 SELECT BENCHMARK(100000000,(select user from users limit 0,1));
 SELECT BENCHMARK(100000000,(select aaaa from users limit 0,1));

在这里插入图片描述可见当列名user存在时,可以执行benchmark;
列名aaaa不存在导致selec语句报错,benchmark则执行失败。

结合上面三个特性,我们可以利用benchmark函数判断我们查找的信息是否存在(表名、列名、字段名等),可以从是否有延时来验证数据库中是否有我们要查找的信息,效果上约等于sleep()函数,要是再配合上暴力破解那岂不是美滋滋。

bitox
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全:SQL注入之时间盲注原理+步骤+实战操作
wangyuxiang946的博客
05-21 2183
这篇文章为大家解析时间盲注的实现原理,结合实战案例讲解时间盲注的操作步骤以及时间误差的判断
sql注入-延时注入】sleep()、benchmark()函数 延时注入
07-10 7049
【延时注入】结合if、case when 延时注入
MySQL性能测试工具
LSW1737554365的博客
10-31 1034
随着大数据时代的发展,数据库系统的性能已经成为影响业务稳定性和用户体验的重要因素之一。为了确保数据库的高效运行,我们需要对它进行定期的性能测试。MySQL是一款非常流行的开源关系型数据库管理系统,因此本文将为您详细介绍几款常用的MySQL性能测试工具及其使用方法。(1)支持多种操作系统和MySQL版本;(2)可模拟多种数据访问模式和负载情况;(3)提供详细的性能指标和报告;(4)易于集成到自动化测试框架。(1)选择合适的工具并配置连接参数;(2)根据需求设置测试场景和负载情况;
Benchmark函数
磨镜台的博客
07-26 4753
1.基准函数 基准函数就是在一定的工作负载下检测程序性能的一种方法。 注意: 1.最快的程序通常是那些进行内存分配次数最少的程序。 2.对一个程序进行基准测试可以帮助我们选择最小缓冲区并带来最佳的性能表现。(高性价比) 2.性能剖析...
超硬核,SQL注入之时间盲注,原理+步骤+实战思路
最新发布
2401_84296945的博客
04-30 650
提示:sleep的时间可以自定义,时间太长效率太低、时间太短则不容易判断。
mysqlbenchmark函数
qq_42338293的博客
06-09 429
用于测试mysql函数的性能的,注意是测试函数的性能,我傻傻的拿去测试sql语句性能半天没结果 benchmark函数只有两个参数,第一个是执行次数,第二个是要测试的函数或者表达式。返回的结果始终是0,执行时间才是我们需要的结果: ...
MySQLbenchmark_MySQLbenchmark函数
weixin_39821718的博客
02-02 249
MySQL实现了很多独特的函数,有时候使用起来是非常的方便,或许这就是开源的好处吧。这里记录一下benchmark函数,一个用于测试MySQL函数性能的函数。benchmark函数只有两个参数,第一个是执行次数,第二个是要测试的函数或者表达式。返回的结果始终是0,执行时间才是我们需要的结果:mysql> select benchmark(1e8,current_date());+——————...
CIS_Mysql_Benchmark_v1.0.2
12-29
Security Configuration Benchmark For MySQL 4.1, 5.0, 5.1 Community Editions Version 1.0.2
MySQL基准测试套件Benchmark安装DBI组件过程分享
09-10
MySQL基准测试套件(Benchmark Suite)是一个用于评估MySQL数据库性能的工具集,它包含了多种测试场景,可以帮助用户了解不同操作对数据库性能的影响。在本文中,我们将重点讨论如何在MySQL环境中安装DBI组件,以便...
MySQL CIS commuity server 5.7 benchmark
01-30
MySQL 安全标准 MySQL CIS commuity server 5.7 benchmark
mysql-benchmark:使用sysbench进行mysql基准测试
04-07
### Sysbench安装 首先,我们需要安装sysbench,我将sysbench安装在另一台服务器上,以便我们可以测试负载对MySQL服务器的实际影响。 通过脚本安装sysbench git clone https://github.com/nycon/mysql-test.git cd mysql-benchmark ./mysql-benchmark.sh *-----------------------------------* Mysql Benchmark Test Read the README first befor you start! *-----------------------------------* 1 - install sysbench 2 - Load Test 3 - Write-heavy traffic with end Report 0
teadb:在MySQL中使用Maven和Benchmark的演示
02-04
使用MySQL进行Maven部署和基准测试跑//close all IDE first//Java 11 Versionexport JAVA_HOME=/usr/lib/jvm/java-11-openjdkmvn cleanmvn installmvn exec:java结果VM 2核+ 8G threadCount = 100 , 000 batchCount ...
MySQL Workbench使用教程
Gremmie的博客
07-18 6449
MySQLWorkbench的使用教程
超硬核,SQL注入之时间盲注,原理+步骤+实战思路(1)
2401_84296945的博客
04-30 1002
时间盲注是指基于时间盲注,也叫延时注入,根据页面的响应时间来判断是否存在注入。
无约束 benchmark 函数
热门推荐
雾隐雾现的至渝博客
09-01 2万+
随手记录下 12 个无约束 benchmark 函数                     (1)Spherical函数                 &nb
mysql bench如何下载_MySQLWorkbench下载与使用教程详解
weixin_31115971的博客
02-07 2937
一、MySQL Workbench的下载Workbench是MySql图形化的管理工具,可以在Workbench里输入MySql的语句,这可能更适合大多数人的视觉,有些操作更能更简单化首先我们下载workbench然后选择download选择no thanks,just download下载后点击默认的设置一直next到安装结束二、MySQL Workbench的使用打开Workbench,点击主...
时间盲注(延迟注入)
qq_51954912的博客
04-25 1万+
时间盲注简介 时间盲注,个人理解,适用于页面不会返回错误信息,只会回显一种界面,其主要特征是利用sleep函数,制造时间延迟,由回显时间来判断是否报错。 官方理解:利用sleep()或benchmark()等函数让mysql执行时间变长经常与if(expr1,expr2,expr3)语句结合使用,通过页面的响应时间来判断条件是否正确。if(expr1,expr2,expr3)含义是如果expr1是True,则返回expr2,否则返回expr3。(除了看不懂,哪都好)。 利用sql-labs第九关进行实操演示
SQL注入漏洞(MSSQL注入)
errorr0
07-05 2392
MSSQL注入的入门讲解
不安装benchmarksql mysql如何,使用benchmarksql mysql 压测
05-30
如果您不想安装BenchmarkSQLMySQL,您仍然可以使用BenchmarkSQL来压测MySQL数据库。您可以使用BenchmarkSQL运行在一个独立的服务器上,该服务器可以访问MySQL数据库。然后,您可以配置BenchmarkSQL连接到MySQL数据库并运行基准测试。在这种情况下,您需要确保BenchmarkSQL服务器和MySQL服务器之间的网络连接是可靠和高速的,以确保测试结果的准确性。另外,您需要确保您对MySQL数据库有足够的权限来运行基准测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值