本文介绍了iwebsec靶场中的SQL sleep注入,这是一种无错误反馈的盲注方式,依赖于页面响应时间来判断注入信息。通过Python脚本配合time和requests库进行测试,逐步展示了获取数据库长度、名称、表名、列名及具体值的过程。分析了利用sleep注入的技巧,强调了注意括号匹配的重要性。
iwebsec靶场在线网站
sleep注入
sleep注入是另一种盲注方式,与bool注入不同,sleep注入没有任何报错信息输出,页面返回不管对错都只是一种状态,攻击者无法通过页面返回状态来判断输入的SQL注入测试语句是否正确,只能通过构造sleep注入的SQL测试语句,根据页面返回的返回时间判断数据库中存储了哪些信息。
因为这种盲注也只能根据猜测来一个一个进行尝试,所以我们通过编写python脚本来进行实现这些判断。
在这里我们需要用到Python中内置了一些与时间处理相关的库比如time库,time库因为已经是python中自带的,不需要我们去进行安装。
还有requests库,库的下载在bool盲注中有提到,还没有下载的朋友,可以看一下iwebsec靶场SQL注入-bool盲注_古木木木木木的博客-优快云博客
对页面进行分析
这是正常的界面
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
