Web安全之SQL注入漏洞学习(四)-时间盲注

2024-06-21 14:48

本文主要是介绍Web安全之SQL注入漏洞学习(四)-时间盲注,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

基于时间延迟注入(Time-based)- 时间盲注

利用sleep()或benchmark()等函数让mysql执行时间变长,通过页面的响应时间来判断条件是否正确。经常与if(expr1,expr2,expr3)语句结合使用,if(expr1,expr2,expr3)含义是如果expr1是True,则返回expr2,否则返回expr3。

通俗讲就是当页面不返回查询结果或者是返回空无法判断注入的语句是否成功时,通过注入特定的SQL语句,根据也面对请求的时间反馈来判断是否注入成功。

时间盲注原理介绍

--后端SQL语句写法
select * from tables where id ='?'
--构造输入完成注入后的SQL,输入为:1' and sleep(3) --
select *from tables where id = '1' and sleep(3) --'
​
--注入作用说明:
--1、当id='1' 条件为真时,注入请求就会等待3秒钟
--2、当id='1' 条件为假时,注入请求就会立即返回

时间盲注经常搭配的数据库函数

substr(a,b,c):从b位置开始截取a字符串的C长度

count():统计总数

ascii():返回字符的ASCII码

length():返回字符串的长度

left(a,b):从左往右截取字符串a的前b个字符

sleep(x):SQL语句执行程序睡眠x秒

。。。。

时间盲注过程演示

分析:该查询接口并不会返回查询结果也没有报错信息,因此无法使用前几篇文章演示的在输入中添加'符号分析返回错误信息判断该接口是否存在注入漏洞,可行的方案是通过时间盲注的方式。

猜测后端的SQL查询语句

从上图可以看出这是一个通过输入电影名称查询电影信息功能,由此可以推测后端可能的SQL查询语句如下

--模糊查询(从业务分析大概率是支持模糊查询)
select *from movie_table where movie like '%?%'
--精确查询
select *from movie_table where movie = '?'

构造输入验证

构造输入的内容为:t%' and sleep(5) --

select *from movie_table where movie like '%t%' and sleep(5)

 

正常查询

从上述执行验证过程中的接口响应时间可以看出sleep函数是被执行的,这就说明此处存在注入漏洞。 

漏洞利用

利用该漏洞获取数据库名称长度信息演示过程

使用hackbar工具辅助进行测试,输入:World War Z' and length(database())<5 and sleep(4) --

用于判断数据库的名称长度是否小于5,如果为真则请求将阻塞4秒,否则请求立即完成。

通过测试可确定数据库的长度是大于等于5的

 

请求耗时

修改输入:World War Z' and length(database())=5 and sleep(4) --

因为前一步已经知道数据库名称长度是大于等于5的,则判断数据库名称长度是否等于5

通过请求耗时可以确定数据库名称长度就是等于5(正常情况下需要进行多次重复这个过程才能找出数据库的名称长度)

 

请求耗时

通过上述分析我们使用length函数我们得出了数据库的名称长度为5,我们也可以通过substr函数获取数据库的真实名称,过程如下:

判断数据库名称的第一个字母是否为a,通过测试数据库名称第一个字母不为a

 

请求耗时

 

判断数据库名称的第一个字母是否为b,通过测试数据库名称第一个字母就为b。(实际分析过程可能需要对比多次才能找到匹配的字母,一次遍历每一个字最后得出完整数据名称)

请求耗时

 

思考题

从上述注入过程中我们不但获取了数据库的名称长度和真实数据库名称,通过结合其他函数以及自动化脚本的帮助我们就可以对数据库、表、表字段、表中的数据进行分析最终获取到数据库所有信息。

欢迎大家关注我的订阅号,会定期分享一些关于测试相关的文章,有问题也欢迎一起讨论学习!
在这里插入图片描述

 

这篇关于Web安全之SQL注入漏洞学习(四)-时间盲注的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1081514

相关文章

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

Java中字符串转时间与时间转字符串的操作详解

《Java中字符串转时间与时间转字符串的操作详解》Java的java.time包提供了强大的日期和时间处理功能,通过DateTimeFormatter可以轻松地在日期时间对象和字符串之间进行转换,下面... 目录一、字符串转时间(一)使用预定义格式(二)自定义格式二、时间转字符串(一)使用预定义格式(二)自

MySQL重复数据处理的七种高效方法

《MySQL重复数据处理的七种高效方法》你是不是也曾遇到过这样的烦恼:明明系统测试时一切正常,上线后却频频出现重复数据,大批量导数据时,总有那么几条不听话的记录导致整个事务莫名回滚,今天,我就跟大家分... 目录1. 重复数据插入问题分析1.1 问题本质1.2 常见场景图2. 基础解决方案:使用异常捕获3.

SQL中redo log 刷⼊磁盘的常见方法

《SQL中redolog刷⼊磁盘的常见方法》本文主要介绍了SQL中redolog刷⼊磁盘的常见方法,将redolog刷入磁盘的方法确保了数据的持久性和一致性,下面就来具体介绍一下,感兴趣的可以了解... 目录Redo Log 刷入磁盘的方法Redo Log 刷入磁盘的过程代码示例(伪代码)在数据库系统中,r

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren

mysql中的group by高级用法

《mysql中的groupby高级用法》MySQL中的GROUPBY是数据聚合分析的核心功能,主要用于将结果集按指定列分组,并结合聚合函数进行统计计算,下面给大家介绍mysql中的groupby用法... 目录一、基本语法与核心功能二、基础用法示例1. 单列分组统计2. 多列组合分组3. 与WHERE结合使

Mysql用户授权(GRANT)语法及示例解读

《Mysql用户授权(GRANT)语法及示例解读》:本文主要介绍Mysql用户授权(GRANT)语法及示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql用户授权(GRANT)语法授予用户权限语法GRANT语句中的<权限类型>的使用WITH GRANT

Mysql如何解决死锁问题

《Mysql如何解决死锁问题》:本文主要介绍Mysql如何解决死锁问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录【一】mysql中锁分类和加锁情况【1】按锁的粒度分类全局锁表级锁行级锁【2】按锁的模式分类【二】加锁方式的影响因素【三】Mysql的死锁情况【1

SQL BETWEEN 的常见用法小结

《SQLBETWEEN的常见用法小结》BETWEEN操作符是SQL中非常有用的工具,它允许你快速选取某个范围内的值,本文给大家介绍SQLBETWEEN的常见用法,感兴趣的朋友一起看看吧... 在SQL中,BETWEEN是一个操作符,用于选取介于两个值之间的数据。它包含这两个边界值。BETWEEN操作符常用

MySQL索引的优化之LIKE模糊查询功能实现

《MySQL索引的优化之LIKE模糊查询功能实现》:本文主要介绍MySQL索引的优化之LIKE模糊查询功能实现,本文通过示例代码给大家介绍的非常详细,感兴趣的朋友一起看看吧... 目录一、前缀匹配优化二、后缀匹配优化三、中间匹配优化四、覆盖索引优化五、减少查询范围六、避免通配符开头七、使用外部搜索引擎八、分