写一个布尔盲注的脚本

最新推荐文章于 2024-07-26 14:20:58 发布
最新推荐文章于 2024-07-26 14:20:58 发布
阅读量488 收藏
点赞数
文章标签: 数据库 mysql sql java sqlserver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35752645/article/details/128866573
版权

布尔盲注是一种数据库攻击技术,其目的是通过查询数据库并猜测结果来确定特定信息。布尔盲注的基本原理是,通过提交查询并猜测其真假,从而获取有关数据库中存储的信息的提示。

如果要写一个布尔盲注脚本,你需要以下步骤:

  1. 建立与数据库的连接。
  2. 编写 SQL 语句,并将其提交给数据库。
  3. 处理数据库的响应。如果响应为真,则可以推断出查询的条件是真的;如果响应为假,则可以推断出查询的条件是假的。
  4. 根据获得的信息,不断调整 SQL 语句并重复步骤 2 和 3,直到确定所需的信息为止。

下面是一个简单的布尔盲注脚本的例子,使用 Python 语言连接 MySQL 数据库:

``` import mysql.connector

建立与数据库的连接

cnx = mysql.connector.connect(user='username', password='password', host='hostname', database='database_name') cursor = cnx.cursor()

编写并提交 SQL 语句

query = "SELECT * FROM users WHERE username='{}' AND password='{}'" cursor.execute(query.format(username, password))

处理数据库的响应

result = cursor.fetchone() if result: # 查询的条件为真,执行相应操作 pass else: # 查询的条件为假

一筐猪的头发丝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
布尔python脚本
04-22
.py文件,python脚本实现布尔,输入网址实现自动化入,信息包括数据库名、表名、字段以及字段中数据。 代码示例靶场:sqli_labs第八关实测可行 意事项:python3.8,就用了一个requests第三方库,单线程实现,爆的比较慢,仅供参考。
SQL入之基于布尔详解
09-10
`http://localhost/sqlilabs/Less-8/?id=2' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>60 %23`这样的入尝试用于获取第一个表名的第一...
2024年Python最全Python自动化sql入:布尔_布尔脚本
2301_82244514的博客
04-30 434
将payload与网址进行拼接,使用requests包来访问网站,根据返回页面是否有flag出现来确认是否成功。需要用到requests包来建立连接访问目标地址,根据回显特征进行下一步操作,这里正确标志是"You are in…获取数量(有多少张表)–> 获取每张表表名的长度 --> 获取具体的表名。
布尔(ctfhub)_ctf 布尔脚本
2401_84010702的博客
04-22 443
布尔的条件: ?id=1’ and 1=1–+ 真页面true?id=1’ and 1=2–+ 假页面false# substr(database(),1,1):表示从数据库的第1个字母开始,显示1个字母,从1开始计数# limit 0,1:表示从第0行开始,显示1行,从0开始计数 2. 根据库名长度爆库名 使用substrate()函数逐个猜数据库名 3. 爆数据表数量 使用mysql的查询语句。从1开始试错 4.爆数据表名长度 使用 limit 0,1(第一张表),limit 1,1(第二张表)
Python自动化sql入:布尔_布尔脚本
2401_84140080的博客
04-30 121
单引号就能闭合,结果正常时会显示you are in…,结果不正常什么都没有。
时间布尔脚本
星星的博客
07-01 397
sql
Python 安全开发 布尔脚本
YouthBelief的博客
12-03 1228
python开发-批量fofa+poc验证0x00 思路0x01 脚本1.fofa爬取步骤一:请求搜索地址 以 GlassFish 任意文件读取 为例 0x00 思路 要想批量验证漏洞是否存在需要考虑的点: 1.获取可能存在漏洞的地址信息。 1.1可借助fofa获取目标 影响版本是 <= 4.1.1 fofa指纹 "GlassFish" && port="4848" && country="CN" 或者 "GlassFish" && port
2024年Python自动化sql入:布尔_布尔脚本(1)
2401_84562858的博客
05-01 234
在sql入时,使用python脚本可以大大提高入效率,这里演示一下编python脚本实现布尔的基本流程:演示靶场:sqli-labs。
Python编sql布尔脚本
weixin_45605352的博客
05-29 1749
小白一枚,大佬勿喷 利用requests库构造payload对目标url发起请求,由于是布尔,可根据页面返回长度判断正确字符,也可根据页面返回特征判断,用二分法减少判断次数,根据不同的情况payload要做一些必要的修改,将payload存入指定文件方便调用。代码还有很多地方需要优化。 import requests import prettytable as pt import PAYLOAD # 二分 def dichotomy(low, high): mid = (low + high
CTFHub_技能树_Web之SQL入——布尔详细原理讲解_保姆级手把手讲解自动化布尔脚本
Ho1aAs‘s Blog
11-19 7766
文章目录前言思路原理常用函数完 前言 布尔,与普通入的区别在于“”。在入语句后,不是返回查询到的结果,而只是返回查询是否成功,即:返回查询语句的布尔值。因此,就是穷举试错,由于只有返回的布尔值,往往查询非常复杂,一般使用脚本来穷举试错 思路 由于对数据库的信息了解甚少,需要考虑多种情况,一般思路如下: 爆数据库名长度 根据库名长度爆数据库名 对当前数据库爆数据表数量 根据表数量爆数据表名长度 根据表名长度爆数据表名 对所有数据表爆列数量 根据列数量爆列名长度 根据列
布尔python脚本.zip
12-28
在给定的压缩包文件"布尔python脚本.zip"中,有两个文件:bool_sql_post.py和bool_sql_get.py,分别对应于使用POST和GET方法进行布尔的Python脚本。下面我们将详细讨论这两个知识点。 1. **布尔原理**...
布尔.py_sqlpython_
10-03
在这个场景中,我们关的是一个名为"布尔.py"的Python脚本,它显然是用于演示或执行SQL的工具。 在SQL中,攻击者通常不能直接看到查询结果,而是必须依赖于应用程序对查询成功或失败的间接响应。例如...
结合手工入编一个SQL脚本——以SQLi-Labs less16为例.doc
07-09
结合手工入编一个SQL脚本——以SQLi-Labs less16为例 本文档主要讲解了如何结合手工入编一个SQL脚本,以SQLi-Labs less16为例。整个过程可以分为两部分:分析测试入点和获取数据库名编脚本。 ...
sql入-布尔脚本
m0_58853680的博客
01-03 408
获取cms_users表中的username和password字段的值,并用冒号分隔(使用。USER_AGENT:模拟浏览器请求时使用的User-Agent头信息。实时打印已获取的部分数据库名,并在获取完整个名字后显示最终结果。若成功获取到长度不为None,则调用get_database_获取名为cms_users表的所有列名(同样使用group_接收一个参数content_length表示数据库名的长度。该函数利用SQL入漏洞尝试获取数据库名或表名的长度。获取当前数据库中的所有表名(使用group_
图数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 291
图数据库查询与操作指南-以Nebula图数据库为例
ODBC连接达梦数据库
qq_55187735的博客
07-24 265
用户执行,因为环境变量配置在。
SQL基础入门:解锁数据库管理的钥匙
最新发布
WayneYalejk的博客
07-26 439
在数字化时代,数据已成为企业最宝贵的资产之一。为了高效地存储、查询和管理这些数据,SQL(Structured Query Language,结构化查询语言)应运而生。SQL不仅是数据库管理员的必备技能,也是数据分析师、开发人员等多个领域从业者的重要工具。本文将带您踏入SQL的世界,从基础概念到实际应用,一步步解锁数据库管理的钥匙。强调SQL在数据处理和分析中的重要性,鼓励读者通过实践不断深化对SQL的理解和应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值