基于时间的盲注
在布尔盲注里通过页面的“真”(显示 Kobe)和“假”(显示不存在)来判断。 但如果遇到这种“死猪不怕开水烫”的页面呢?
不管你输入什么,页面的内容没有任何变化。这时候“点头/摇头”机制失效了。 唯一的办法是:掐着秒表算时间。
我们强迫数据库: “如果你听懂了我的话(条件为真),你就睡 5 秒钟再理我。”
核心函数:让数据库“睡觉”
在 MySQL 中,有一个函数叫 sleep(n) ,意思是暂停执行 n 秒。
我们需要结合 if() 语句来构造一个“定时炸弹”:
if(判断条件, sleep(5), 0)
如果“判断条件”是真的,就睡 5 秒;如果是假的,就睡 0 秒(立刻返回)。
比如输入下面的payload:
kobe' and sleep(5) #
-
点击提交后,浏览器上面的圈圈会转 5 秒钟左右,页面才会刷新出来。
-
原理:
- 数据库找到
kobe(真)。 - 执行
AND sleep(5)。 - 整个查询被暂停了 5 秒。
- 数据库找到
构造进阶 Payload (测试假) kobe' and if(1=2, sleep(5), 0) #
-
页面应该秒开(立刻刷新)。
-
原理:
-
1=2是假的。 - 执行
sleep(0)(不睡)。
-
直接“三板斧”
一旦确认了 sleep(5) 能让网页卡顿,接下来的操作和布尔盲注一模一样,只是判断标准变了:
- 布尔盲注: 看页面有没有内容。
- 时间盲注: 看页面有没有卡顿。
kobe' and if((你的猜测), sleep(5), 0) #
猜数据库长度:kobe' and if(length(database())=7, sleep(5), 0) #
猜第一个字母 (结合 ascii):kobe' and if(ascii(substr(database(),1,1))=112, sleep(5), 0) #
ps:
网络延迟的干扰 (False Positive):
为了避免误判,睡眠时间不要太短(建议 3-5 秒),并且在网络不好的时候多测几次。
sleep() 被禁用了怎么办?
除了 sleep(),还有一个让数据库“累死”的函数叫 benchmark() 。
让数据库做 1000 万次 MD5 运算,以此来消耗时间,达到卡顿的效果。
BENCHMARK(10000000, MD5(1))