Lab14_ Blind SQL injection with time delays

文章目录

前言:

实验室标题为:

带有时间延迟的 SQL 盲注

等级:执业者

简介:

本实验室包含一个盲 SQL 注入漏洞。应用程序使用跟踪 cookie 进行分析,并执行包含已提交 cookie 值的 SQL 查询。

SQL 查询的结果不会返回,应用程序也不会根据查询是否返回任何记录或导致错误而做出任何不同的响应。不过,由于查询是同步执行的,因此可以触发条件时间延迟来推断信息。

要解决这个实验室问题,利用 SQL 注入漏洞造成 10 秒钟的延迟。

进入实验室

依旧是一个商店页面

构造 payload

这里依旧是借助谷歌插件 EditThisCookie

实验室的要求是造成 10 秒延迟

在实验室的 SQL 注入小抄中可以找到延迟的 SQL 语句

输入 payload,就可以看到页面会处于加载状态

sql 复制代码
'||pg_sleep(10)--

等待页面加载结束,就会显示成功通关

Tips: 在时间延迟注入中,如果不确定是 sql 语句造成延迟,还是网络造成延迟,可以同时打开两个相同的网页做对比查看

相关推荐
独行soc1 小时前
2025年渗透测试面试题总结-29(题目+回答)
web安全·职场和发展·渗透测试·单元测试·压力测试
携欢3 小时前
Portswigger靶场之 Blind SQL injection with time delays通关秘籍
数据库·sql
怕浪猫5 小时前
MySQL 多表查询的应用
sql·mysql
上海云盾安全满满8 小时前
网站被 DDoS 攻击的过程和应对方案
安全·web安全·ddos
witkey_ak989619 小时前
网络安全转型书籍清单
安全·web安全
jieyu111921 小时前
内网后渗透攻击--域控制器安全(1)
安全·web安全·内网渗透·域控制器安全
DONG91321 小时前
《三驾马车:MySQL、MongoDB、Redis对比与融合实战》
数据库·redis·sql·mysql·mongodb·database
浩浩测试一下1 天前
06高级语言逻辑结构到汇编语言之逻辑结构转换 for (...; ...; ...)
汇编·数据结构·算法·安全·web安全·网络安全·安全架构
你是人间五月天1 天前
常见WEB安全漏洞及防护措施
安全·web安全
哆啦A梦是一只狸猫1 天前
SQL Server缩小日志文件.ldf的方法(适用于开发环境)
数据库·sql·sqlserver