mysql延迟注入是什么_mysql 延时注入新思路

转自先知社区https://xz.aliyun.com/t/2288

在4月的pwnhub比赛中，我们遇到了一个比较神奇的问题，如果在注入中遇到需要延时注入的情况，但服务端过滤了我们一般使用的sleep和benchmark函数，这时候我们有没有办法使用别的方式来替代这两个函数造成延时呢？

这里可以代码看看

require 'conn.php';

$id = $_GET['id'];

if(preg_match("/(sleep|benchmark|outfile|dumpfile|load_file|join)/i", $_GET['id']))

{

die("you bad bad!");

}

$sql = "select * from article where id='".intval($id)."'";

$res = mysql_query($sql);

if(!$res){

die("404 not found!");

}

$row = mysql_fetch_array($res, MYSQL_ASSOC);

mysql_query("update view set view_times=view_times+1 where id = '".$id." '");

?>

很明显$id没有任何过滤就拼接入了update语句，一般来说我们可以用延时盲注来获取数据。

一般我们会用sleep(5)或者是benchmark来多次执行md5操作来换取比较长的执行时间来替代延时。

那么是不是有别的方式替代呢？

笛卡儿积

这种方法又叫做heavy query，可以通过选定一个大表来做笛卡儿积，但这种方式执行时间会几何倍数的提升，在站比较大的情况下会造成几何倍数的效果，实际利用起来非常不好用。

mysql> SELECT count(*) FROM information_schema.columns A, information_schema.columns B;

+-----------+

| count(*) |

+-----------+

|

+-----------+

row in set (9.87 sec)

在一个列数比较少的站内，可能需要3个表做笛卡尔积，延时已经是分钟级别的了

get_lock

这是一种比较神奇的利用技巧，延时是精确可控的，但问题在于并不是所有站都能实现。

get_lock的官方解释如下

GET_LOCK(str,timeout)

Tries

to obtain a lock with a name given by the string str, using a timeout of

timeout seconds. A negative timeout value means infinite timeout. The lock is

exclusive. While held by one session, other sessions cannot obtain a lock of

the same name.

当我们锁定一个变量之后，另一个session再次包含这个变量就会产生延迟。

mysql);

+---------------------+

) |

+---------------------+

|

+---------------------+

row in set (0.00 sec)

换新的session

mysql);

+---------------------+

) |

+---------------------+

|

+---------------------+

row in set (5.00 sec)

值得注意的是，利用场景是有条件限制的：需要提供长连接。在Apache+PHP搭建的环境中需要使用 mysql_pconnect函数来连接数据库。

正则bug

这是一个老生常谈的问题了，但之前可能很少会把它放到注入里讨论。

正则匹配在匹配较长字符串但自由度比较高的字符串时，会造成比较大的计算量，我们通过rpad或repeat构造长字符串，加以计算量大的pattern，通过控制字符串长度我们可以控制延时。

mysql,),'b');

+-------------------------------------------------------------+

,),'b') |

+-------------------------------------------------------------+

|

+-------------------------------------------------------------+

row in set (5.22 sec)

Mysql常见注入

Mysql显错注入 1.判断注入类型为字符型:http://219.153.49.228:43074/new_list.php?id=tingjigonggao' and 1=1 --+2.判断字段为 ...

sqli-labs：7，导入导出；8-10 延时注入

1,Load_file()导出文件 使用条件: A.必须有权限读取并且文件必须完全可读(and (select count(*) from mysql.user)>0/* 如果结果返回正常,说明 ...

MySQL的注入总结

0x01 MySQL 5.0以上和MySQL 5.0以下版本的区别 MySQL5.0以上版本存在一个叫information_schema的数据库,它存储着数据库的所有信息,其中保存着关于MySQL服 ...

Sqli-LABS通关笔录-9[延时注入]

通过这个关卡 1.更快的掌握到了如何判断是否是延时注入 无论咋输入,都不行.当payload为: http://127.0.0.1/sql/Less-9/index.php?id=1' and sle ...

SQLMAP学习笔记2 Mysql数据库注入

SQLMAP学习笔记2 Mysql数据库注入 注入流程 (如果网站需要登录,就要用到cookie信息,通过F12开发者工具获取cookie信息) sqlmap -u "URL" - ...

Sqli-LABS通关笔录-8[延时注入]

通过该关卡我学习到了 1.if语句的三目运算符(其实说白了也就是php里的三位运算符) 2.sleep函数 3.substring函数(其实和substr一样) 4.limit的灵活运用 5. Sta ...

MYSQL手工注入(详细步骤)—— 待补充

0x00 SQL注入的分类: (1)基于从服务器接收到的响应         ▲基于错误的 SQL 注入         ▲联合查询的类型         ▲堆查询注射         ▲SQL 盲注 ...

Mysql基本注入

实验环境:墨者学院Mysql手工注入漏洞测试靶场 后台源码没有进行任何字符过滤. 首先进入靶场环境 先用admin登陆试试 果然不行,这时看到用户登录下方有一个停机维护通知,点进去瞅瞅 看到这里链接上 ...

MySQL手工注入学习-1

MySQL手工注入学习 SQLi-labs 手工注入学习 以下是通过SLQi-labs平台的部分简单例题的手工注入过程 Less-1:union联合查询注入 页面提示:Please input the ...

随机推荐

Java多线程系列--“JUC线程池”05之 线程池原理(四)

概要 本章介绍线程池的拒绝策略.内容包括:拒绝策略介绍拒绝策略对比和示例 转载请注明出处:http://www.cnblogs.com/skywang12345/p/3512947.html 拒绝策略 ...

JAVA的回忆

访问修饰符: 1.常用访问修饰符: public 共有的 private 私有的 protect 保护 public 所有人能用,私有的自己能用,protect一个包里. 2.自动修正快捷键 ctrl ...

centos 没有可用的网络设备

在重装的时候记得查看网络情况,提示没有可用的网络设备. 系统是64位的,我再创建虚拟机选择客户机操作系统的时候,选择成了 centos .不是centos 64位.改成centos 64位后,就显示了 ...

设置Linux时间 同步时间

date命令将日期设置为2014年6月18日 ----   date -s 06/18/14 将时间设置为14点20分50秒 ----   date -s 14:20:50 将时间设置为2014年6月 ...

js各类共用方法

function GetParameterValueByName(parametername) { var reg = new RegExp("(^|&)" + param ...

shell oracle

#!/bin/sh traffic= rm -rf test.txt data=`sqlplus -S anoscfg/anoscfg <

【笔记】javascript权威指南-第三章-类型，值和变量

javascript中的原始类型和对象类型(基本类型和引用类型) //本书是指:javascript权威指南    //以下内容摘记时间为:2013.7.27   计算机程序运行时需要对值(value ...

(字符串 键盘转换)Convert QWERTY to Dvorak -- zoj -- 5526

链接: http://acm.zju.edu.cn/onlinejudge/showProblem.do?problemId=5526 Time Limit: 2 Seconds      Memor ...

selenium 概念及练习 ！

1.selenium中如何判断元素是否存在? 2.selenium中hidden或者是display ＝ none的元素是否可以定位到? 3.selenium中如何保证操作元素的成功率?也就是说如何保 ...