mysql时间 注入 sleep_sleep 延迟注入

最新推荐文章于 2023-07-10 17:05:02 发布
最新推荐文章于 2023-07-10 17:05:02 发布
阅读量679 收藏
点赞数
文章标签: mysql时间 注入 sleep
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33205791/article/details/113613229
版权

A:     时间差注入也叫延迟注入,是一种盲注的手法   提交对执行时间铭感的函数sql语句,通过执行时间的长短来判断是否执行成功,比如:正确的话会导致时间很长,错误的话会导致执行时间很短,这就是所谓的高级盲注。

利用BENCHMARK sleep 函数来注入

利用sleep也可以引起拒绝服务

B:

有时候当我们注入某站时,某站突然就打不开了,

被防火墙暂时隔离,你没法浏览他的页面,这时候你不得不换换IP,或者等待恢复,

或者提交注入参数的时候,网站的某种保护措施,他会跳转某个错误页面,访问N次错误页面的时候,才会正常访问。

这样就会影响咱们的效率,这就是为什么延时注入也算一节课的原因,还是蛮重要的.

C:

途牛主站延时注入+waf绕过

http://www.2cto.com/Article/201502/377118.html

eg.1http://wap.people.com.cn/newsView.php?sid=&cnid=1456639 and sleep(99999999999)&chid=1_14_3&coid=1_14_3_1&wv=2&v=l&return=c

eg.2

POST /main.php?do=online_book_do_visitor HTTP/1.1

Host: km.tuniu.com

User-Agent: Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.1

最低0.47元/天 解锁文章
梦酱酱酱酱肉大包子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全:SQL注入时间盲注原理+步骤+实战操作
wangyuxiang946的博客
05-21 2197
这篇文章为大家解析时间盲注的实现原理,结合实战案例讲解时间盲注的操作步骤以及时间误差的判断
超硬核,SQL注入时间盲注,原理+步骤+实战思路
最新发布
2401_84296945的博客
04-30 651
提示:sleep时间可以自定义,时间太长效率太低、时间太短则不容易判断。
SQL注入-时间注入
李二胖的博客
04-16 2090
SQL注入-时间注入时间注入攻击 时间注入攻击 利用sleep()或者benchmark()等函数让MySQL的执行时间变长。与IF(expr1,expr2,expr3)结合使用。当满足条件expr1时执行expr2,不满足时执行expr3。 http://192.168.17.137/sql/Less-1/?id=1' and if(length(database())>1,sleep(5),1)--+ 执行时间为5s以上 执行很短时间返回结果 多次使用length()可以判断数据库库名长度
【sql注入-延时注入sleep()、benchmark()函数 延时注入
07-10 7071
【延时注入】结合if、case when 延时注入
时间注入的一些基本思路
weixin_45945976的博客
10-24 773
时间注入的一些基本思路 原理 利用函数sleep()让服务器休眠,通过休眠时间判断执行的语句对错,从而得到我们想要的信息 1,判断当前库名的长度 语法:and if (length(database())=x,0,sleep(5))#0 //判断数据库名字长度 实例:http://10.6.18.36/time/?type=1 and if (length(database())>11,0,sleep(5))#0 当前库名长度为12 2,猜库名 语法:and if (ascii(substr
SQL注入漏洞 | sleep
weixin_52116519的博客
12-09 1497
SQL注入漏洞 | bool型if(SQL语句,sleep(),null)if()、sleep()的使用select * from table where id = 1 and sleep(2) //执行查询id=1,同时sleep(2)。
Web应用安全:Mysql时间延迟.pptx
06-19
时间延迟注入主要利用MySQL中的特定函数,如`SLEEP()`或`BENCHMARK()`,来延长数据库查询的时间。攻击者通过构造带有这些函数的SQL语句,结合`IF()`判断语句,使得页面的响应时间与某个条件相关。例如,如果条件...
Web应用安全:Mysql时间延迟习题习题.docx
06-17
简答题部分,SQL时间延迟注入是一种特殊的注入方法,当Web应用程序不显示错误信息,而是统一返回一个界面时,攻击者可以利用`sleep()`等函数来延迟响应时间,通过观察响应时间来判断SQL语句的执行情况。例如,给定的...
Mysql-blind-inject.zip_Blind sql injection_SQL inject_blind_blin
09-24
MySQL盲注(Blind SQL Injection)是一种特殊类型的SQL注入攻击,攻击者无法直接看到数据库的响应,而是通过观察应用程序的间接行为来判断是否存在漏洞或获取数据。这种攻击方式通常发生在目标系统对错误信息进行了...
12 延时注入1
08-03
延迟注入的实现方式是使用 sleep() 函数来控制执行时间的长短。例如,在 MySQL 中可以使用 IF() 函数来实现延迟注入,语法如下: IF(expr1, expr2, expr3) 其中,expr1 是条件语句,如果 expr1 为 TRUE,则返回 ...
SQL注入基础整理及Tricks总结1
08-03
比如,攻击者可能会注入一个使查询等待一段时间的语句,如`SLEEP()`函数,然后通过测量响应时间来推断信息。 五、笛卡尔积 笛卡尔积(Cartesian Product)在SQL注入中,通常出现在没有正确连接两个表的查询中,导致...
SQL注入时间延迟注入
DM766924的博客
09-16 1516
时间延迟注入 原理:利用if函数,执行判断; 如果正确,直接返回(时间很短,网速有一定影响) 如果不正确,执行时间延迟,常用的函数有sleepbenchmark 以上操作也可以反过来。适用环境:界面无法用布尔真假判断,也无法报错注入的情况下。 时间延迟注入常用SQL函数介绍 if(condition,expr1,expr2)功能:如果condition是true,则if()的返回值是expr1,否则返回值则为expr2,if()的返回值为数字值或字符串,具体情况视其所在语境而定举例:select
网络安全--SQL注入sleep注入
weixin_43774199的博客
09-24 3983
课程目标:说明MySQLsleep()、substr()、count()、length()等函数的用法,讲解盲注和ASCII码,组织实验使学生掌握sleep注入方式。 任务目标:学会MySQLsleep()、substr()、count()、length()等函数的用法,了解盲注和ASCII码,掌握sleep注入方式。 A.MySQL中的sleep函数 MySQL中的sleep函数 在MySQL中执行select sleep(N)可以让此语句运行N秒钟,例如下图所示: Sleep函数.
HTTP头sleep延迟注入
aitangdao4981的博客
05-30 332
http://123.206.87.240:8002/web15 无回显,通过http header里的X-Forwarded-For字段进行sleep注入。 源码过滤了 ',' 那么相应的if语句可以替换为select case when xxx then xxx else 0 end substr和substring里使用from 1 for 1代替',' 1 # -*...
基于时间的盲注原理简介
m0_38103658的博客
08-30 6364
基于时间的盲注 盲注简介 盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 盲注原理 盲注的本质就是猜解,在没有回显数据的情况下,我们只能靠‘感觉’来体会每次查询时一点点细微的差异,而这差异包括运行时间的差异和页面返回结果的差异。 对于基于布尔的盲注来说,我们可以构造一条注入语句来测试我们输入的布尔表...
Sql注入系列详解(一)---基于时间差的盲注
AI.PLAY
05-07 1万+
Sql 基于时间的盲注   基于的原理是,当对数据库进行查询操作,如果查询的条件不存在,语句执行的时间便是0.但往往语句执行的速度非常快,线程信息一闪而过,得到的执行时间基本为0. 例如: 于是sleep(N)这个语句在这种情况下起到了非常大的作用。  Select sleep(N)可以让此语句运行n秒钟。 但是如果查询语句的条件不存在,执行的时间便是0,利用该函数
【SQL注入-06】延时注入案例
m0_64378913的博客
04-26 2571
1 概述 当改变浏览器传给后台SQL的参数后, 浏览器没有显示对应内容也没有显示报错信息时,无法使用union联合查询注入与报错注入;同时,输入参数为真或假也无法从页面显示上查出差异,无法使用布尔注入 ,这时候可以试试看能否使用延时注入。 延时盲注:也称延时注入时间注入等,这种注入方式在传给后台的参数中,设置了一个if语句,当条件为真时执行sleep语句,条件为假时无执行语句,然后根据浏览器的响应时间来推测sleep语句是否被执行,进而推测if条件是否为真。 延时盲注与布尔盲注的核心思想都是通过浏览器两种
浅谈盲注中的基于时间型和布尔型的注入方法
热门推荐
pygain的博客
11-08 2万+
SQL显错注入已经被用烂了像这种漏洞,漏洞批量发现工具找一找,sqlmap跑一跑。 今天讲的是在我们的命令被带入数据库查询语句但是却什么都没有返回的情况我们该怎么办。例如应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,我们之前学习的SQL注入办法就无法使用了。 盲注,即在SQL注入过程中,SQL语句执行选择后,选择的数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注
SQL时间注入
m0_52199518的博客
04-15 896
SQL Injection Based Time 基于时间的SQL注入,应用于页面无回显的情况,通过页面的延时情况判断数据内容,方法包括以下几种 产生延时的方法/函数 sleep benchmark 笛卡尔积 get_lock 正则bug 我们一个一个讨论,逐个学习。 另外注意,本文不讨论过滤,也不讨论语法变形(别被给的样例限制了思维);也记得多看看其他师傅写的,多瞅瞅官方文档;如果内容有错误,还请指出,谢谢。 sleep()函数 sleep()是最常见的延时方法,应用广
SQL Injection with MySQL 注入分析
09-14
SQL Injection with MySQL 注入分析是一篇由作者angel原创的IT技术文章,主要针对国内相对较少见的php+MySQL编程环境下的SQL注入问题进行深入探讨。随着Web应用程序的发展,SQL注入已经成为一种常见的安全漏洞,尤其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值