基于Python的SQL盲注利用工具


项目介绍 :

项目地址

基于Python的SQL盲注利用脚本 , 实现地很简陋

最近几乎刷完了Sqli-labs的题目 , 但是其实感觉好多知识点自己都没有学习到
写这个工具只是为了学习SQL注入的原理 , 虽然说已经有SQLMAP这样的如此强大的工具了
自己还是不想当脚本小子 , 而且觉得还是自己写的东西用着爽
那就先自己写 , 看看自己能写到什么样的程度 , 然后再去阅读SQLMAP的源码


运行截图 :

基于Python的SQL盲注利用工具_第1张图片
图片.png
基于Python的SQL盲注利用工具_第2张图片
图片.png
基于Python的SQL盲注利用工具_第3张图片
图片.png

使用说明 :

python sqlhacker.py http://www.xxx.com/index.php?id=1

只需要一个参数 , 程序会自动判断是否存在注入点
如果存在会显示出Payload并自动脱裤
会自动忽略系统库 , 例如information_schema/mysql


TODO :

  1. 目前只可以利用Bool盲注 , 以后需要添加时间盲注等等功能
  2. 增加灵活性和可扩展性
  3. 增加帮助文档
  4. 对URL参数进行分离 , 目前只支持一个参数
  5. 对除了mysql以外的数据库进行支持

你可能感兴趣的:(基于Python的SQL盲注利用工具)