【Python】批量扫描检测网址SQL注入点

最新推荐文章于 2024-05-09 09:11:23 发布
最新推荐文章于 2024-05-09 09:11:23 发布
阅读量7.7k 收藏 8
点赞数
分类专栏: Python 原创作品 文章标签: python 扫描注入 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzy98/article/details/80078343
版权

流程图

这里写图片描述

    首先需要爬行该网站,获取到网站链接,然后再对这些链接进行检测,最后结果保存在本地。

工程设计

爬行链接

    惭愧,并没有用详细的正则表达式专门提取链接。使用的是寻找Href的值,然后剖去http与javascript。将爬行的结果保存在列表,因为可能一次性可能爬很多的链接,没有必要检测这么多的链接,所以最后做了一些筛选,只随机选择5个链接进行检测。

	r_sql = re.findall('href="(.*?)"', r_crawl.content)
	list_none = []
	for sql_sql in r_sql:
		if 'php?' in sql_sql:
			if not 'http' in sql_sql and not 'jsvascript' in sql_sql:
				list_none.append(url + '/' + sql_sql.lstrip('/'))
			else:
				pass
		else:
			pass

    同理把php换成asp,aspx等就能爬行asp,aspx的链接。

验证注入

    思路是加上一些让能让数据库报错的东西,比如单引号,and1=2这样的。然后在链接上加上这些payloads,根据返回

最低0.47元/天 解锁文章
浪子燕青啦啦啦
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Python编程SqlmapAPI批量扫描sql注入
kriesa的博客
07-13 670
Python编程SqlmapAPI批量扫描sql注入
注入批量扫描工具
12-22
这是一个sql注入批量扫描工具,利用百度的关键词搜索,自动记录和识别可能存在注入的url
10 个 SQL 注入工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
05-09 2633
其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。Havij不仅能够自动挖掘可利用的SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有 一个可利用的SQL注入漏洞。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
百度批量注入点拿shell
05-22
百度批量注入点拿shell
python sql注入扫描器编写_Python实现SQL注入检测插件实例代码
weixin_39828102的博客
12-09 860
扫描器需要实现的功能思维导图爬虫编写思路首先需要开发一个爬虫用于收集网站的链接,爬虫需要记录已经爬取的链接和待爬取的链接,并且去重,用 Python 的set()就可以解决,大概流程是:输入 URL下载解析出 URLURL 去重,判断是否为本站加入到待爬列表重复循环SQL 判断思路通过在 URL 后面加上AND %d=%d或者OR NOT (%d>%d)%d后面的数字是随机可变的然后搜索网页...
Python实现SQL注入检测插件实例代码
01-21
扫描器需要实现的功能思维导图 爬虫编写思路 首先需要开发一个爬虫用于收集网站的链接,爬虫需要记录已经爬取的链接和待爬取的链接,并且去重,用 Python 的set()就可以解决,大概流程是: 输入 URL 下载解析出 URL URL 去重,判断是否为本站 加入到待爬列表 重复循环 SQL 判断思路 通过在 URL 后面加上AND %d=%d或者OR NOT (%d>%d) %d后面的数字是随机可变的 然后搜索网页中特殊关键词,比如: MySQL 中是 SQL syntax.*MySQL Microsoft SQL Server 是 Warning.*mss
SQL注入漏洞测试(布尔盲注)python
weixin_45445398的博客
03-08 445
打开题目后,显然使用order by 判断列数 select 1,2,3,4 发现错误没有回显(有回显的参照我之前发的)这时候就开始爆破数据库了(我使用手动+py脚本,sqlmap更方便这里练习就使用py)得到列名 name password status,后就是爆破里面的数据。输出得到mozhe mozhe,同样的将name换成password后得到。当判断数据库长度为1时页面错误看源码不断实验发现数据库名长度为10。得到数据库名stormgroup,之后开始爆破表个数,表长和表名。
自己动手编写SQL注入漏洞扫描工具
02-20
在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
python调用sqlmapapi实现批量扫描网站
weixin_43996007的博客
02-22 4211
python调用sqlmapapi实现批量扫描网站 1、介绍 众所周知,sqlmap是一个非常强大的注入扫描工具。利用它可以自动化检测和利用SQL注入缺陷以达到接管控制网站后台数据库的目的。 但是再强大的工具总会存在一些缺陷的地方——比如每进行一个扫描任务,都需要再次开启一个命令行;使用相同的参数扫描网站时需要多次输入,浪费时间,效率低下。不过好在sqlmap提供了一个强大的api可以弥补这些缺陷。 sqlmapapi分为服务端和客户端,默认端口为8775。使用方法如下: 其中,-p参数可以指定端口号,-
sql注入
qq_51862881的博客
03-02 1071
sql注入的一些基本方式
python攻击网站的方式_【技术分享】看我如何进行Python对象注入利用
weixin_39634576的博客
11-24 196
译者:天鸽预估稿费:130RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿简介在今天的 Defencely Lab 中,我们将详细介绍和演示 Python 对象注入攻击(Python Object Injection)的细节。整个演示将使用我们专门编写的易受攻击的应用程序和漏洞,源码可以在这里找到 –Github – Python Object Injection。需要的...
超级SQL批量注入工具
12-14
sql注入,超级sql注入,数据库注入sql注入检测sql批量注入检测工具
mysql注入扫描网站漏洞工具_sql注入扫描工具下载-PHP+MYSQL网站注入扫描工具免费版 - 维维软件园...
weixin_42306699的博客
01-19 757
你想进行SQL网站注入扫描吗,那么你肯定需要使用专门的注入扫描工具了,请来下载PHP+MYSQL网站注入扫描工具试试吧,本工具是专门针对PHP网站所编写的一款小工具,软件界面是仿教程的hdsi中的PHP注入模块写的,该软件的实现原理是参考angel的SQL Injection with MYSQL写的,网上有很多在这儿就不再详细介绍了,有需要进行SQL网站注入扫描的朋友请下载进行测试吧。相关说明P...
SQL注入
acepanhuan的博客
02-09 507
SQL注入原理
手把手教你用Python轻松玩转SQL注入——渗透利器
pyjishu的博客
03-25 2165
前言 大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。 一、浅谈SQL注入 SQL注入其实就是把SQL命令插入到WEB表单中提交或者输入一些页面请求的查询字符串,比如我们输网址,就是相当于这种操作,只不过我们不是在测试SQL注入漏洞,而仅仅只是为了输入后看到相应网页上的内容而已。一般方法有,如:猜数据表名,其次就是绕过后.
SQL盲注之python脚本自动化注入
菜鸟学安全的博客
12-18 1385
sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编写脚本注入
pythonsql注入步骤_python 打造一个sql注入脚本 (一)
weixin_39809168的博客
11-30 508
0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记:sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:sql.php当我们在网页执行访问了:http://127.0.0.1/sql.php?x=1在数据库其实是这样的$...
python 多进程批量扫描网站备份文件
qq_39650046的博客
12-01 719
python写了一个多进程批量扫描网站备份文件的小脚本 先把要扫描的url放到文件里,通过读取文件里面的url,批量扫描备份文件 这里利用了多进程模块,速度非常可观 import requests import re import multiprocessing list = ['wwwroot.rar','wwwroot.zip','新建文件夹.rar','新建文件夹.zip','www.rar','www.zip','web.rar','web.zip'] headers = {'User-Agen
学习Python渗透第14天:用python实现sql注入
2203_75839317的博客
03-30 508
如果提交的参数1'and '1'='1的返回值为1,而提交的参数1' and '1'='2的返回值为0,就可以判断这个web应用程序存在sql注入漏洞了。首先我们来编写获取数据库名称的程序,分成两个步骤,首先计算数据库名称的长度,测试语句为1' and length(database())=n#,n是我们猜测的数字,这里假设最大为20.我们在判断提交了参数之后,是否有响应,可以通过requests.get()函数的返回值来确定,其中包含了,ID,Fir Name,Surname等等,就表明有响应。
python sql注入检测脚本
04-24
很好,您希望了解有关 Python SQL 注入检测脚本的信息。 SQL注入是一种常见的Web应用程序攻击,可以使攻击者在不经过身份验证的情况下访问数据库。 在Python中,有许多SQL注入检测脚本可供选择,如SQLmap、SQLninja...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浪子燕青啦啦啦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值