延时注入属于盲注技术的一种,它是一种基于时间差异的注入技术。在某些网站屏蔽一般的MySQL注入时,可以通过这种方法所观察所返回的时间来判断是否存在注入点。当存在符合一些条件的时候,就会执行sleep()函数,延时sleep()函数内的参数秒后返回,通过这个原理可以观察语句执行时间来判断是否存在注入点。
这道题是Webug中的中级进阶第5题。
image.png
按照提示,输入在地址栏里输入?type=看看什么情况:
image.png
百度了之后,参考大佬的,输入地址栏如下:
image.png
出现了这个页面(后面测试了,好像就?type=1也可以出现这个页面),证明应该存在注入点。
查看了下注入的命令,如果手动注入的话,得猜很久,参考了大佬的脚本:
import requests,time
payloads="qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM0123456789@_.}{,"
#存放跑出的结果