Lab14_ Blind SQL injection with time delays

文章目录

前言:

实验室标题为:

带有时间延迟的 SQL 盲注

等级:执业者

简介:

本实验室包含一个盲 SQL 注入漏洞。应用程序使用跟踪 cookie 进行分析,并执行包含已提交 cookie 值的 SQL 查询。

SQL 查询的结果不会返回,应用程序也不会根据查询是否返回任何记录或导致错误而做出任何不同的响应。不过,由于查询是同步执行的,因此可以触发条件时间延迟来推断信息。

要解决这个实验室问题,利用 SQL 注入漏洞造成 10 秒钟的延迟。

进入实验室

依旧是一个商店页面

构造 payload

这里依旧是借助谷歌插件 EditThisCookie

实验室的要求是造成 10 秒延迟

在实验室的 SQL 注入小抄中可以找到延迟的 SQL 语句

输入 payload,就可以看到页面会处于加载状态

sql 复制代码
'||pg_sleep(10)--

等待页面加载结束,就会显示成功通关

Tips: 在时间延迟注入中,如果不确定是 sql 语句造成延迟,还是网络造成延迟,可以同时打开两个相同的网页做对比查看

相关推荐
数据狐(DataFox)9 小时前
CTE公用表表达式的可读性与性能优化
经验分享·python·sql
jllllyuz10 小时前
Spring中的事务是如何实现的
数据库·sql·spring
一只鹿鹿鹿11 小时前
【网络安全】信息网络安全建设方案(WORD)
人工智能·安全·spring·web安全·低代码
卓码软件测评11 小时前
软件测评中网站类测评测试使用的BurpSuite-Web安全测试流程
测试工具·安全·web安全
爱学习的大牛12311 小时前
网络安全专业知识体系:成为专家需要做的
安全·web安全
吃不得辣条11 小时前
网络安全之防火墙
网络·web安全·apache
编程到天明12 小时前
CTF实战:用Sqlmap破解表单输入型SQL注入题(输入账号密码/username&password)
sql·网络安全·web
CF14年老兵15 小时前
SQL 是什么?初学者完全指南
前端·后端·sql
非极限码农15 小时前
Hive SQL (HQL) 编辑指南
hive·hadoop·sql
m0_7381207215 小时前
Solar月赛(应急响应)——攻击者使用什么漏洞获取了服务器的配置文件?
运维·服务器·安全·web安全·网络安全