SQL注入之时间盲注

一、时间盲注原理

时间盲注技术的核心在于巧妙地运用数据库中的时间延迟函数(例如 MySQLSLEEP() 函数或 PostgreSQLPG_SLEEP() 函数)来验证注入条件的有效性。当注入条件成立时,数据库会执行这些延迟函数,从而导致页面响应时间显著增加;反之,若条件不成立,则不会产生延迟效果。这项技术之所以被称为“盲注”,原因在于它并不能直接将查询结果反馈到页面或接口返回值中,而是依赖于SQL语句执行所产生的时间延迟来间接推断数据内容。

二、时间盲注方法

时间盲注的方法主要是利用 if(booleans, true_value, false_value) 函数 和 sleep(seconds) 函数组合来获取数据库内容。

常见语句

SELECT IF(SUBSTRING((SELECT DATABASE()), 1, 1) = 'a', SLEEP(5), 1)


SELECT IF(ASCII(SUBSTRING((SELECT DATABASE()), 1, 1)) < 100, SLEEP(5), 1)

解析

IF(booleans, true_value, false_value) 函数:

  • booleans:这是一个布尔表达式,用于确定要返回哪个值。如果条件为真(非零和非 NULL),则返回 true_value
  • true_value:如果条件为真,则 IF 函数返回这个值。
  • false_value:如果条件为假(零或 NULL),则 IF 函数返回这个值。

SUBSTRING(string, start, length) 函数:

  • string:要从中提取子字符串的原始字符串。
  • start:子字符串的起始位置。在SQL中,这个位置通常是从1开始的。如果start为负数,则表示从字符串的尾部开始计数。
  • length:要提取的字符数。这是一个可选参数。如果省略此参数,则将从起始位置提取到字符串的末尾。

SLEEP(seconds) 函数:

  • seconds:数据库暂停秒数。

ASCII(char) 函数:

  • char: 想要转换为ASCII码的单个字符。

通过对这两条语句的解析,我们可以得出以下结论:

  • 第一条语句:判断数据库名称的第一个字符是否为 a。如果是,则数据库会暂停5秒;如果不是,则返回数据 1
  • 第二条语句:判断数据库名称第一个字符的ASCII码是否小于100(字符 a 的ASCII码为97)。如果是,则数据库会暂停5秒;如果不是,则返回数据 1

相比之下,作者更倾向于使用第二种方法,因为通过ASCII码结合二分查找法,可以更高效地定位目标字符。二分查找的时间复杂度为 O(log n),而传统的遍历法时间复杂度为 O(n),前者在效率上具有明显优势。

三、时间盲注实例

在Pikachu平台上进行实践时,我们在输入框内输入了特定的SQL注入测试字符串:' and sleep(5) #

发现接口35秒多才返回,与平常的检索时间多了35秒。虽然查询语句延时了,但不是我们规定的5秒,而是35秒,这是为什么呢?

为了探究原因,我们对生成的SQL语句进行了深入分析:

SELECT id, username, email FROM member WHERE username LIKE '%' AND SLEEP(5) #%'

WHERE 子句中,多个表达式通过 AND 连接时,数据库通常会采用短路逻辑(Short-Circuit Evaluation)来优化计算:

如果某个表达式为 FALSE,则后续的表达式无需再计算,因为整个条件已经确定为 FALSE

基于这一逻辑,我们推断出接口响应延迟35秒的原因:在数据库中,满足username LIKE '%'条件的数据记录多达7条。为了验证这一推断,我们直接连接数据库进行了查询,结果确实发现了7条匹配记录。

接下来,我们决定继续进行时间盲注攻击,但为了提高效率,我们需要调整策略,确保username LIKE '%'表达式能够精确匹配到唯一一条记录。例如,我们可以将表达式修改为username LIKE '%vince',即在输入框中输入:vince' and sleep(5) #

此时,接口的响应时间终于恢复到了我们预期的5秒多。

随后,我们利用if()函数来尝试获取数据库中的信息。在输入框中,我们输入了如下字符串:vince' and IF(SUBSTRING((SELECT DATABASE()), 1, 1) = 'p', SLEEP(5), 1) #

这条语句用于判断数据库名称的首位字符是否为'p'。如果判断为真,则接口响应会延迟5秒;否则,响应将立即返回。通过这种方法,我们可以逐步推断出数据库名称的每一位字符。至于后续如何获取数据库第二位及更多位字符的操作,原理相同,此处不再赘述。

SQL注入之时间盲注的更多相关文章

  1. 依托http-headers的 sql注入和时间盲注

    机缘巧合接触了一点关于sql注入的网络安全问题 依托 headers 的 sql 注入 一般来说大家都很清楚用户输入的危险性,通常会对用户表单提交的数据进行过滤(引号转码). 但是如果写过网络爬虫,那 ...

  2. 实验吧——who are you?(insert into注入 二分法 时间盲注)

    题目地址:http://ctf5.shiyanbar.com/web/wonderkun/index.php 根据提示  “我要把攻击我的人都记录db中去!”  猜测这是insert into注入,会 ...

  3. SQL注入学习-Dnslog盲注

    1.基础知识 1.DNS DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的 ...

  4. SQL注入之延迟盲注

    延迟盲注 你不知道你输入的数据在sql被执行后是否是正确或错误的.你只知道有数据. 利用原理 借助if语句,如果正确就sleep(5),延迟5秒返回数据.通过数据返回的时间大小判断自己的语句是否正确执 ...

  5. 渗透测试初学者的靶场实战 2--墨者学院SQL注入—报错盲注

    墨者SQL注入-MYSQL数据库实战环境 实践步骤 1. 决断注入点 输入单引号,提示错误信息: 输入and 1=1 返回页面正常: 输入 and 1=2 返回正常 输入-1,返回异常: 2. 带入s ...

  6. 渗透测试初学者的靶场实战 3--墨者学院SQL注入—宽字节盲注

    墨者SQL注入-MYSQL数据库实战环境 实践步骤 1. 决断注入点 输入单引号,提示错误信息: 输入and 1=1 返回页面正常: 输入 and 1=2 返回正常 输入-1,返回异常: 2. 带入s ...

  7. 掌控安全学院SQL注入靶场-布尔盲注(一)

    靶场地址:http://inject2.lab.aqlab.cn/Pass-10/index.php?id=1 判断注入点: http://inject2.lab.aqlab.cn/Pass-10/i ...

  8. 掌控安全学院SQL注入靶场-布尔盲注(三)

    测试了username参数,没有发现注入 123456' or '1'='1 123456' or '1'='2 第二种注入方法

  9. 掌控安全学院SQL注入靶场-布尔盲注(二)

    首页打开如下 判断注入 闭合报错 先判断数据库的长度....

  10. SQL注入之Sqli-labs系列第九关和第十关(基于时间盲注的注入)

    开始挑战第九关(Blind- Time based- Single Quotes- String)和第十关( Blind- Time based- Double Quotes- String) gog ...

随机推荐

  1. Java Timer&TimerTask原理分析

    如果你使用Java语言进行开发,对于定时执行任务这样的需求,自然而然会想到使用Timer和TimerTask完成任务,我最近就使用 Timer和TimerTask完成了一个定时执行的任务,实现得没有问 ...

  2. Blazor 组件库 BootstrapBlazor 中EditorForm组件介绍

    组件介绍 EditorForm 组件是一个非常实用的组件,当进行数据编辑时,仅需要将 Model 属性赋值即可. 绑定模型默认自动生成全部属性,可以通过设置 AutoGenerateAllItem 更 ...

  3. mysqldump+binlog备份脚本

    mysqldump是一种逻辑备份工具 , 可以对数据库进行全量备份 , 和binlog增量备份共同使用可以进行数据库备份 , 基于此写了一个备份的脚本 #!/bin/bash all_path=&qu ...

  4. 使用 wireshark 捕获 请求包

    1.出错场景 今天遇到一个问题,在用户登录时,发现用户在登录的时候,一个用户登录正常,一个用户登录报错,报错的原因时400错误,分析对比发现一个用户的分配用户组多,一个分配的少,其中多的那个出错了. ...

  5. go build tags使用

    转载请注明出处: 在 Go 语言中,构建标签(Build Tags)是一种用于条件编译的机制,可以帮助开发者根据不同的条件选择性地编译特定的代码块.它们在处理多平台和多环境的代码时特别有用,例如为不同 ...

  6. scikit-learn中的Pipeline:构建高效、可维护的机器学习流程

    我们使用scikit-learn进行机器学习的模型训练时,用到的数据和算法参数会根据具体的情况相应调整变化, 但是,整个模型训练的流程其实大同小异,一般都是加载数据,数据预处理,特征选择,模型训练等几 ...

  7. winform窗体无边框拖动

    1:引用命名空间 using System.Runtime.InteropServices; 2:想要拖动窗体的控件绑定MouseDown事件 点击查看代码 //窗体移动 [DllImport(&qu ...

  8. 从底层源码深入分析Spring的IoC容器初始化过程

    IOC容器的初始化整体过程 Spring是如何实现将资源配置(以xml配置为例)通过加载,解析,生成BeanDefination并注册到IoC容器中的?这主要会经过以下 4 步: 从XML中读取配置文 ...

  9. forms组件与源码分析、modelform组件

    目录 一.forms组件 forms组件介绍 Form定义 二.forms组件渲染标签 三.forms组件展示信息 四.forms组件校验补充 五.forms组件参数补充 六.forms组件源码剖析 ...

  10. 2024年1月Java项目开发指南18:自定义异常输出

    一般情况下,报错信息一大堆,值得注意的只有三个地方: 哪个文件发生了错误 哪一行发生了错误 错误原因是什么 只要知道这三个东西就能快速的定位到错误发生的位置并且根据提示解决. 如果你也喜欢我的这种异常 ...