sqlmap

Tela Software:
sqlmap
Detalhes de Software:
Versão: 0.8
Data de upload: 5 Jun 15
Revelador: Bernardo Damele
Licença: Livre
Popularidade: 2215

Rating: 3.7/5 (Total Votes: 7)

Ela dá com uma ampla gama de recursos com duração de fingerprinting de banco de dados, sobre Buscando dados do banco de dados, para acessar o sistema de arquivos subjacente e executar comandos no sistema operacional por meio de conexões out-of-band.
SqlMap foi escrito principalmente usando o código Python e C

Recursos :.

  • Técnicas:
  • agrupadas (empilhados) consulta apoio, também conhecido como várias instruções apoiar
  • injeção SQL blind de injeção SQL blind inferencial, também conhecido como boolean base
  • consulta UNION (dentro da banda) de injeção SQL, também conhecida como injeção UNIÃO completa consulta SQL
  • características genéricas:
  • Suporte total para MySQL, Oracle, PostgreSQL e sistemas de gerenciamento de banco de dados Microsoft SQL Server back-end. Além destes quatro banco de dados software de sistemas de gestão, SqlMap também pode identificar Microsoft Access, DB2, Informix, Sybase e Interbase.
  • Suporte total para três técnicas de injeção SQL: injeção SQL blind inferencial, consulta união (dentro da banda) de injeção de SQL e suporte consultas em lote. SqlMap também pode testar para a injeção SQL blind baseada no tempo.
  • É possível fornecer uma única URL alvo, obter a lista de alvos de pedidos de proxy Burp anotar conversações de arquivo ou de proxy WebScarab / pasta, obter toda a solicitação HTTP a partir de um arquivo de texto ou obter a lista de alvos, fornecendo SqlMap com um idiota Google que consulta motor de busca Google e analisa sua página de resultados. Você também pode definir um escopo baseado de expressão regular que é usado para identificar qual dos endereços analisados ​​para testar.
  • testa automaticamente todos os parâmetros fornecidos GET, POST parâmetros, valores de cabeçalho de cookie HTTP e HTTP valor de cabeçalho User-Agent para encontrar os dinâmicos, o que significa aqueles que variam o conteúdo da página resposta HTTP. No as dinâmicas SqlMap testa automaticamente e detecta os afetados por injeção SQL. Cada parâmetro dinâmico é testado para numérico, único string, string de casal e todos esses tipos de dados três com zero a dois parênteses para detectar corretamente o que é a sintaxe da instrução SELECT para executar com mais injecções. Também é possível especificar o único parâmetro (s) que deseja realizar testes e usar para injecção por diante.
  • Opção para especificar o número máximo de solicitações HTTP simultâneas para acelerar os inferencial cegos algoritmos de injeção de SQL (multi-threading). Também é possível especificar o número de segundos de espera entre cada solicitação HTTP.
  • Cookie apoio seqüência cabeçalho HTTP, útil quando o aplicativo da Web requer autenticação baseada em biscoitos e você tem esses dados ou no caso de você só quer testar e explorar injeção de SQL em tal cabeçalho. Você também pode especificar a URL sempre-codificar o cabeçalho Cookie.
  • automaticamente lidar com HTTP cabeçalho Set-Cookie da aplicação, re-estabelecimento da sessão se ela expirar. Teste e explorar nesses valores é suportado também. Você também pode forçar a ignorar qualquer cabeçalho Set-Cookie.
  • HTTP Basic, Digest, NTLM apoio e Certificado autenticações.
  • Anonymous suporte a proxy HTTP para passar pelas solicitações para o aplicativo de destino que funciona também com pedidos de HTTPS.
  • Opções de falsificar o valor do cabeçalho HTTP Referer eo HTTP User-Agent cabeçalho valor especificado pelo usuário ou aleatoriamente seleccionados a partir de um arquivo de texto.
  • Suporte para aumentar o nível de verbosidade das mensagens de output: existem seis níveis. O nível padrão é um em que informações, avisos, erros e tracebacks (se houver ocorrer) será exibida.
  • granularidade nas opções do usuário.
  • tempo estimado de chegada apoio para cada consulta, atualizadas em tempo real ao obter a informação a dar ao usuário uma visão geral de quanto tempo vai demorar para recuperar a saída.
  • Suporte automático para salvar a sessão (consultas e sua saída, mesmo que parcialmente recuperados) em tempo real, ao buscar os dados em um arquivo de texto e retomar a injeção deste arquivo em uma segunda vez.
  • Suporte para ler as opções de um arquivo INI de configuração em vez de especificar cada vez todas as opções na linha de comando. O suporte também para salvar as opções de linha de comando em um arquivo INI de configuração.
  • Opção para atualizar SqlMap como um todo para a última versão de desenvolvimento do repositório Subversion.
  • Integração com outros de segurança de TI projetos de código aberto Metasploit, e w3af.
  • impressão digital e enumeração recursos:
  • Extensive versão do software de banco de dados back-end e de impressão digital sistema operacional subjacente baseada em mensagens de erro internos da banda, bandeira de análise, comparação de saída funções e características específicas, tais como MySQL comentário injeção. Também é possível forçar o nome de back-end sistema de gerenciamento de banco de dados se você já sabe disso.
  • software de servidor web básico e tecnologia de aplicação web de impressão digital.
  • Suporte para recuperar o DBMS banner, usuário da sessão e informações de banco de dados atual. A ferramenta também pode verificar se o usuário da sessão é um administrador de banco de dados (DBA).
  • Suporte para enumerar usuários de banco de dados, "hashes de senha, os usuários dos usuários privilégios, bancos de dados, tabelas e colunas.
  • Suporte para despejar as tabelas de banco de dados como um todo ou um intervalo de entradas, por escolha do usuário. O usuário também pode escolher para despejar única coluna específica (s).
  • Suporte para despejar automaticamente esquemas e entradas de todos os bancos de dados. É possivelmente a excluir do despejo os bancos de dados do sistema.
  • Suporte para enumerar e despejar as tabelas de todos os bancos de dados que contêm usuário fornecido coluna (s). Útil para identificar para tabelas de instância contendo credenciais de aplicativos personalizados.
  • Suporte para executar declaração custom SQL (s) como em um cliente SQL interativo conexão com o banco de dados back-end. SqlMap disseca automaticamente a declaração fornecida, determina qual técnica usar para injetá-lo e como embalar a carga útil SQL em conformidade.
  • características Públicas de Aquisição
  • Suporte para injetar funções definidas pelo usuário personalizados: o usuário pode compilar objeto compartilhado, em seguida, usar SqlMap para criar dentro das funções definidas pelo usuário DBMS back-end fora do arquivo objeto compartilhado compilado. Essas UDFs pode então ser executado e, opcionalmente removido, via SqlMap também.
  • Suporte para ler e fazer upload de qualquer arquivo do servidor de banco de dados subjacente sistema de arquivos quando o software de banco de dados é MySQL, PostgreSQL ou Microsoft SQL Server.
  • Suporte para executar comandos arbitrários e recuperar sua saída padrão no servidor de banco de dados subjacente do sistema operacional quando o software de banco de dados é MySQL, PostgreSQL ou Microsoft SQL Server.
  • Suporte para estabelecer uma conexão TCP stateful out-of-band entre a máquina do usuário e do sistema operacional do servidor de banco de dados subjacente. Este canal pode ser um prompt de comando interativo, uma sessão Meterpreter ou uma interface de usuário (VNC) sessão gráfica, por escolha do usuário. SqlMap conta com Metasploit para criar o shellcode e implementa quatro técnicas diferentes para executá-lo no servidor de banco de dados. Estas técnicas são:
  • Suporte para o processo de banco de dados 'privilégio do usuário escalada através do comando do Metasploit getsystem que incluem, entre outras, a técnica kitrap0d (MS10-015) ou via Windows Access Tokens seqüestro usando extensão incógnito do Meterpreter.
  • Suporte a acesso (leitura / add / delete) seções do Registro do Windows.

O que é novo nesta versão:.

  • Suporte a recursos de aquisição sobre PostgreSQL 8.4
  • Suporte para enumerar e despejar 'tabelas contendo usuário fornecido coluna (s), especificando, por exemplo «todos os bancos de dados do usuário --dump -C, passe'. Útil para identificar para tabelas de instância contendo credenciais de aplicativos personalizados.
  • Suporte para analisar -C (nome (s) da coluna) quando buscar colunas de uma tabela com --columns: ele irá enumerar apenas as colunas como o (s) fornecido dentro da tabela especificada
  • .
  • Maior limpeza de código.
  • utilitário de arquivo simples de criptografia / compactação Adicionado, extra / capa / cloak.py, usado por SqlMap para descriptografar sobre as conchas voar Churrasco, UPX executáveis ​​e, consequentemente, reduzindo web drasticamente o número de softwares anti-vírus que equivocadamente marcam SqlMap como um malware.
  • Manual Atualizado do usuário.

Requisitos :

  • Python 2.5 ou superior

Outro software de desenvolvedor Bernardo Damele

sqlmap
sqlmap

11 May 15

Comentário para sqlmap

Comentários não encontrado
Adicionar comentário
Ligue imagens!