2. 程式人生 > >sqlmap基於時間盲注判斷原理

sqlmap基於時間盲注判斷原理

阿新 發佈:2019-01-29

檢測入口:

lib/controller/checks.pycheckSqlInjection函式中:

elifmethod == PAYLOAD.METHOD.TIME:
    # Perform the test's request
    trueResult = Request.queryPage(reqPayload, place, timeBasedCompare=True, raise404=False)

    if trueResult:
        # Confirm test's results
        trueResult = Request.queryPage(reqPayload, place, timeBasedCompare

=True, raise404=False)

        if trueResult:
            infoMsg = "%s parameter '%s' appears to be '%s' injectable "% (paramType, parameter, title)
            logger.info(infoMsg)

            injectable = True

檢測是否是時間盲注注入點,呼叫queryPage函式,若返回True,再呼叫該函式驗證一次,驗證成功之後,則判斷該注入點存在時間盲注。

Lib/requests/connect.py中queryPage函式:

若檢測時間盲注,queryPage函式中timeBasedCompare設定為True

判斷是否存在時間盲注時,若kb.responseTimes中的長度小於MIN_TIME_RESPONSES(30),則連續請求30次頁面,獲取響應時間。

    while len(kb.responseTimes[kb.responseTimeMode]) < MIN_TIME_RESPONSES:
        value = kb.responseTimePayload.replace(RANDOM_INTEGER_MARKER, str(randomInt(6))).replace(RANDOM_STRING_MARKER, randomStr()) if 
 
kb.responseTimePayload else kb.responseTimePayload
        Connect.queryPage(value=value, content=True, raise404=False)
        dataToStdout('.')
  
    dataToStdout(" (done)\n")

timeBasedCompare為True,呼叫wasLastResponseDelayed()判斷上次請求是否存在延遲。

if timeBasedCompare:
    return wasLastResponseDelayed()
  elif noteResponseTime:
    kb.responseTimes.setdefault(kb.responseTimeMode, [])
    kb.responseTimes[kb.responseTimeMode].append(threadData.lastQueryDuration)

Lib/core/common.py wasLastResponseDelayed()中:

首先根據responseTimes中的所有時間計算得到標準差deviation

計算最慢的響應時間:lowerStdLimit平均值+TIME_STDEV_COEFF*標準差。

TIME_STDEV_COEFF設定為7可以使得判斷的準確度在99.9999999997440%

之上。

判斷上次請求的響應時間是否大於max(MIN_VALID_DELAYED_RESPONSE,lowerStdLimit)),是則置retVal為True,返回。(即存在時間注入)

若當前網路情況良好,使用者可以輸入Y來optimize value,呼叫adjustTimeDelay()來縮短sleep時間。

def wasLastResponseDelayed():
    """
    Returns True if the last web request resulted in a time-delay
    """
  
    # 99.9999999997440% of all non time-based SQL injection affected
    # response times should be inside +-7*stdev([normal response times])
    # Math reference: http://www.answers.com/topic/standard-deviation
  
    deviation = stdev(kb.responseTimes.get(kb.responseTimeMode, []))
    threadData = getCurrentThreadData()
  
    if deviation and not conf.direct:
        if len(kb.responseTimes[kb.responseTimeMode]) < MIN_TIME_RESPONSES:
            warnMsg = "time-based standard deviation method used on a model "
            warnMsg += "with less than %d response times" % MIN_TIME_RESPONSES
            logger.warn(warnMsg)
  
        lowerStdLimit = average(kb.responseTimes[kb.responseTimeMode]) + TIME_STDEV_COEFF * deviation
        retVal = (threadData.lastQueryDuration >= max(MIN_VALID_DELAYED_RESPONSE, lowerStdLimit))
  
        if not kb.testMode and retVal:
            if kb.adjustTimeDelay is None:
                msg = "do you want sqlmap to try to optimize value(s) "
                msg += "for DBMS delay responses (option '--time-sec')? [Y/n] "
                choice = readInput(msg, default='Y')
                kb.adjustTimeDelay = ADJUST_TIME_DELAY.DISABLE if choice.upper() == 'N' else ADJUST_TIME_DELAY.YES
            if kb.adjustTimeDelay is ADJUST_TIME_DELAY.YES:
                adjustTimeDelay(threadData.lastQueryDuration, lowerStdLimit)
  
        return retVal
    else:
        return (threadData.lastQueryDuration - conf.timeSec) >= 0

總結:

Sqlmap根據基於時間的盲注技術來檢測注入點,不需要依賴具體的sleep(n)  n的大小,而是判斷上次請求的響應時間是否在預期之內,不在則認為產生了時延,存在注入點。

並且採用了數學的方法, 將判斷的準確度控制在相當高的一個百分比之上。

檢測的思想具有很好的學習價值。

其它參考資料:

http://blog.csdn.net/jinzhichaoshuiping/article/details/45568883
http://www.cnblogs.com/hongfei/p/sqlmap-time-based-blind.html  

相關推薦

sqlmap基於時間判斷原理

檢測入口:lib/controller/checks.pycheckSqlInjection函式中:elifmethod == PAYLOAD.METHOD.TIME:    # Perform the

實驗吧CTF who are you?基於時間

請求 .get head 輸入 pytho 知識 request quest lee 這是我第三次接觸時間盲註,所以就寫一個博文和大家分享一下,還能檢驗我對知識的掌握程度。?( ′???` ) 點開網址是把你的真實IP地址打印出來!然後立馬看網頁源代碼什麽發現都沒有! 現

基於時間

延時注入,用的最多的注入 常用的判斷語句: ' and if(1=0,1, sleep(10)) --+  " and if(1=0,1, sleep(10)) --+ ) and if(1=0,1, sleep(10)) --+ ') and if(1=0,1,

SQL基於時間(BUGKUCTF)

這篇只是為了讓我自己做個記錄 在進行一個BUGKU的ctf:http://123.206.87.240:8002/web15/ 題目給出了原始碼: error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['

sql注入基於布林/時間詳解

                本來想自己總結寫一篇的,發現有篇寫的很好,轉載mark一個~原文連結:http://www.jb51.net/article/93445.htm基於布林的盲注Web的頁面的僅僅會返回True和False。那麼布林盲注就是進行SQL注入之後然後根據頁面返回的True或者是Fals

【sqli-labs】 less10 GET - Blind - Time based. - Double quotes (基於時間的雙引號註)

localhost mage http labs substr blog com 刷新 單引號 這個和less9一樣,單引號改完雙引號就行了 http://localhost/sqli/Less-10/?id=1" and sleep(5)%23 5s後頁面完成刷新

【sqli-labs】 less9 GET - Blind - Time based. - Single Quotes (基於時間的GET單引號註)

mage 一個 sub inf .com info pre log () 加and http://localhost/sqli/Less-9/?id=1‘ and ‘1‘=‘1%23 http://localhost/sqli/Less-9/?id=1‘ and ‘1‘

暑期練習web23:sqli lab第五關 雙注入GET單引號字元型注入----基於bool型的手工

如果所查詢的使用者id在資料庫中,可以發現頁面顯示”You are in”,而不像前4關那樣會顯示出具體的賬號密碼 而如果輸入的查詢語句不存在,則什麼也不會返回 這裡普及一下盲注時的常用函式 1.mid()函式 mid(striing,start

滲透測試之POC基於布林的sql

基於布林的盲注一般只能告訴我們true or fasle。 就比如你只能向系統提問,但是系統只能回答你是或者不是。 一般套路是先問資料庫名字有多長,1,2,3,4直到回答出是,然後獲取到資料庫名字長度,然後資料庫第一個字元是不是a,b,c,d....直到回答是,獲取第一個字

Sql注入系列詳解(一)---基於時間差的

Sql 基於時間的盲注 基於的原理是,當對資料庫進行查詢操作,如果查詢的條件不存在,語句執行的時間便是0.但往往語句執行的速度非常快,執行緒資訊一閃而過,得到的執行時間基本為0. 例如: 於是sleep(N)這個語句在這種情況下起到了非常大的作用。  Select s

基於布林的學習筆記

import requests import binascii MAX_DBName_len = 100 MAX_TableName_len = 100 MAX_ColumnName_len = 100 MAX_Data_len = 100 MAX_Table_Num = 100 MAX_Column_Nu

DVWA-基於布爾值的註與基於時間註學習筆記

and pass sleep函數 防止 源碼 sql註入 過濾 coo 防禦 DVWA-基於布爾值的盲註與基於時間的盲註學習筆記 基於布爾值的盲註 一、DVWA分析 將DVWA的級別設置為low 1.分析源碼,可以看到對參數沒有做任何過濾,但對sql語句查詢的返回的

MySQL中基於mysqldump和二進制日誌log-bin二進制日誌進行邏輯備份以及基於時間點的還原

總結 mysql-bin lin .sql bin -h eat log-bin 之前 本文出處:http://www.cnblogs.com/wy123/p/6956464.html 本文僅模擬使用mysqldump和log-bin二進制日誌進行簡單

基於編輯距離來判斷詞語相似度方法(scala版)

使用 ref ray 只需要 art 算法 位置 spark else 詞語相似性比較,最容易想到的就是編輯距離,也叫做Levenshtein Distance算法。在Python中是有現成的模塊可以幫助做這個的,不過代碼也很簡單,我這邊就用scala實現了一版。 編輯

基於時間的 SQL註入研究

pass 用戶 電子 ext 當前 數據過濾 oracle delay 工作 SQL註入攻擊是業界一種非常流行的攻擊方式,是由rfp在1998年《Phrack》雜誌第54期上的“NT Web Technology Vulnerabilities”文章中首次提出的。時過境遷,

zzcms8.2#任意用戶密碼重置#del.php時間註#復現

參數 blank utf 更新 取出 clas 後臺管理 abcd odi 00x0 引言   早上起來,發現seebug更新了一批新的洞,    發現zzcms8.2這個洞好多人在挖,於是我就默默的踏上了復現之路(要不是點進去要買詳情,我何必這麽折騰~)    環境:z

時間註腳本.py

odi encoding pconnect one bsp res urllib 腳本 random 時間盲註腳本 #encoding=utf-8 import httplib import time import string import sys import r

java10:基於時間的版本控制

取代 spa 兼容 才會 語言 遞增 如果 靈活 改進 功能發布 從Java 10開始,采用了一種新的嚴格的基於時間的發布模式。 在這個新模型中,Java平臺的主要版本(現稱為功能版本)將每6個月(3月和9月)發布一次。 功能版本將包含語言功能,JVM功能和新的改進的API

時間註poc編寫

sub 每一個 就是 .get response main return 一個 判斷 當測試註入漏洞時,頁面沒有返還結果,連報錯都沒有時,可以考慮延時。 比如這條語句 ?type=1 and if(length(database())=%d,sleep(5),1) 如果這條

基於時間加權svm的指數優化復制策略

經驗 深度 支持向量 wid 產生 如果 控制 一段 向量 1 引言 指數追蹤,利用某些金融資產組合去追蹤某一股票指數,指數型基金核心技術。 目前主要有兩種指數復制方法 基於兩種假設 一:歷史能夠重演,在過去一段時間能構造歷史追蹤誤差最小的,未來也將是最優,現在大多數