sqlmap

sqlmap е автоматична сляпо оръдие SQL инжекция, разработен в Питон, способна да се изброят цялата отдалечена база данни, да извърши активно пръстови отпечатъци база данни и много повече.
Целта sqlmap е да прилага напълно функционална база данни Mapper инструмент, който взема предимства на уеб приложение дупки в сигурността програмиране, които водят до уязвимост SQL инжектиране

<силни> Характеристики :.

• Изпитване на стабилността на дистанционното URL, базирани на страница хеш или низ мач;
• Идентификация на URL динамични параметри;
• Test числов, низ (апостроф и двойни кавички) SQL инжекция на всички URL-динамичните параметри и на първо уязвима тя ще бъде използвана за извършване на бъдещи SQL инжекции;
• Възможност за избор на HTTP метод за изпитване и експлоатация на динамичните параметри, GET или POST (по подразбиране: GET);
• Fingerprint на база данни, уеб приложение Бекенд според конкретните заявки изход които идентифицират характеристики на базата данни и банер измъкна;
• Random HTTP селекция глава User-Agent;
• HTTP Cookie с глава при условие, полезно, когато уеб приложение изисква разрешително въз основа на бисквитки и вие сметка;
• Осигуряване анонимен HTTP прокси адрес, за да мине по искане към целевата URL;
• Други параметри на командния ред, за да получите банер база данни, се изброят бази данни, таблици, колони, самосвали стойности, извличат произволно съдържание файл и да осигурят собствен SQL израз, да намират отдалечена база данни;
• Debug изходни съобщения в многословно изпълнение режим;
• PHP създаване на данъци magic_quotes_gpc чрез кодиране на всеки стринг заявка, между единични кавички, с CHAR (или подобен) функция на базата данни.
• Прегледани структурата на директориите дърво;
• Двуделна либералните / common.py: inband функционалности инжекционни сега са
• премества в импровизирам / union.py;
• актуализиран файлове документация.

Какво ново в тази версия:

• Тази версия разполага с напълно пренаписана и мощна SQL двигателя откриване на инжектиране , способността да се свърже директно към сървър на база данни, подкрепа за основана на времето сляпо SQL инжекция и грешки базирани SQL инжекция, подкрепата за четири нови системи за управление на бази данни, и много повече.

Какво ново във версия 0.6.4:

• Основен аксесоар се прилагат, за да се направи сравнение на алгоритъма работят правилно на URL адреси, които не са стабилни, като използвате difflib Sequence Matcher обект.
• Основен аксесоар се направи, за да подкрепи изявленията дефиниция SQL данни, манипулация изявления SQL данни и така нататък от потребителя в SQL заявка и SQL черупки, ако подредени заявки са подкрепени от технологията Web приложения.
• A голямо увеличение на скоростта е направена през DBMS основния пръстови отпечатъци.

Какво ново във версия 0.6.1:

• Основен Bugfix е направена за слепи SQL инжекция разполовяване алгоритъм, за да се справят с едно изключение.
• A Metasploit рамкова 3 спомагателни модул се добавя към тичам sqlmap.
• Възможността за тестване на и се инжектира също за подобни твърдения се реализира.

Какво ново във версия 0.6:

• Complete код refactor и много бъгове фиксирани;
• Добавена е поддръжка многонишковост да зададете максималния брой едновременни заявки HTTP;
• Изпълнено SQL черупки (--sql черупка) функционалност и фиксирана SQL заявка (--sql-заявка, преди нарича -e), за да бъде в състояние да изпълнява каквото SELECT изявление и да получите своята продукция в inband както и слепи SQL инжекция атаки ;
• Добавена опция (--privileges) за извличане на СУБД привилегии за потребители, тя също уведомява, ако потребителят е администратор на СУБД;
• Добавена е поддръжка (-C) да четат опциите от конфигурационен файл, пример за валидно INI файл е sqlmap.conf и подкрепа (--save), за да спаси опции за командния ред на конфигурационен файл;
• Създаден функция, която се актуализира цялата sqlmap до последната стабилна версия на разположение, като пуснете sqlmap с --update опция;
• Създаден sqlmap .deb (Debian, Ubuntu, и т.н.) и .rpm (Fedora, и т.н.) инсталация двоични пакети;
• Създаден sqlmap .exe (Windows) преносим изпълним;
• спести много повече информация за файла сесия, полезна при възобновяване на инжектиране на същата цел, за да не хлабав време за идентифициране на инжектиране, Съюз полета и бекенд DBMS два пъти или повече пъти;
• Подобрена автоматична проверка за скоби, когато се изпитват и коване вектор SQL заявка;
• Сега го проверява за SQL инжекция на всички GET / POST / Cookie параметри тогава тя позволява на потребителя да избере кой параметър за извършване на инжектирането на в случай, че повече от една е за инжектиране;
• Изпълнено подкрепа за исканията HTTPS над HTTP (S) пълномощник;
• Добавена проверка, за да се справят с NULL или не се предлага изход заявки;
• Повече ентропията (randomStr () и randomInt () функции в либералните / ядро ​​/ common.py) в inband SQL инжекция свръхдълги заявка и в и проверки състояние;
• Подобряване на структурата на XML файлове;
• Изпълнено възможността да променя заглавната част на HTTP Referer;
• Добавена е поддръжка за да излезете от сесията файл също, когато работи с inband SQL инжекция атаки;
• Добавена опция (--os-шел) да изпълнява команди на операционната система, ако обратно края на СУБД е MySQL, уеб сървър има PHP двигател активна и разрешителни напиши достъп на директория в рамките на корена на документа;
• Добавена проверка, за да се гарантира, че при условие низ да съвпадне (--string) е в рамките на съдържанието на страницата;
• Фиксирани различни заявки в XML файл;
• Добавена LIMIT, ORDER BY и граф заявки към XML файл и адаптиран библиотеката, за да го направи разбор;
• Фиксирана парола извличането функция, главно за Microsoft SQL Server и се преразглежда хешовете на паролите разбор функцията;
• Major бъг фиксирани за да се избегне tracebacks когато проверимо параметър (и) е динамичен, но не и за инжектиране;
• Засилено сеч система: добави още три нива на детайлност, за да се покаже също HTTP изпратени и получени по пътищата;
• Аксесоар за да се справят с Set-Cookie от целевия URL и автоматично повторно установяване на сесия, когато той изтича;
• Добавена е поддръжка за да инжектирате също относно параметрите на Set-Cookie;
• Изпълнено TAB завършване и история командването на двете --sql черупка и --os раковина;
• Преименувана някои опции за командния ред;
• Добавена библиотека преобразуване;
• Добавена код схема и напомняния за бъдещо развитие;
• коментар добавени авторското право и $ Id $ SVN имот до всички Python файлове;
• Updated оформлението на командния ред и да помогне на съобщения;
• Updated някои docstrings;
• актуализиран файлове документация.