【SQL注入】延时盲注

sleep(n)​​: 核心延时函数。使数据库程序暂停 n秒。

​​if(condition, true_expr, false_expr)​​: 条件判断函数。如果 condition为真，执行 true_expr，否则执行 false_expr。​​用于将延时与判断条件绑定​​。

​​mid(a, b, c)​​: 字符串截取函数。从字符串 a的第 b位开始，截取 c个字符长度的子串。

通过观察网页响应时间是否延迟了5秒，从而判断出数据库名字的第一个字母不是 ‘g’，这里返回5，不是g

​​substr(a, b, c)​​: 功能同 mid(a, b, c)，字符串截取函数。

​**left(a, b)​​: 字符串截取函数。从字符串 a的​​左侧​**​截取前 b位

database()​​: 返回当前数据库的名称。

length(a)​​: 返回字符串 a的长度。

攻击原理：

通过组合上述函数，构造一个条件判断（如 if(ascii(substr(database(),1,1))=100, sleep(5), 0)），如果条件为真，则触发延时，从而根据页面的响应时间来判断猜测的数据是否正确。这是一种“盲注”手段，在无法直接看到查询结果时使用。

如果当前数据库名的第一个字母是 ’t’，那么就让数据库睡眠0秒（不延迟）；否则，就睡眠5秒（产生明显延迟）。

?id=1 and sleep(if(mid(database(),1,1)=’t’,0,5))

在SQL注入过程中，推荐使用ASCII码进行判断。​​​

1.防止引号转义​​：可以避免因单引号 '或双引号 "被应用程序转义或过滤而导致的注入失败，提高攻击的成功率和可靠性。

2.方便工具使用​​：为后续使用sqlmap等自动化注入工具提供便利，这些工具通常采用ASCII码值进行盲注判断，手动测试时采用同样方法可以保持一致。

从当前数据库中查询第一张表的表名，并取出其第一个字符。如果这个字符的ASCII码等于116（即字符’t’），那么就让数据库睡眠2秒；否则，就不睡眠。

select * from t1 where id=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=116,sleep(2),0);