sqlmap

Software screenshot:
sqlmap
Rincian Software:
Versi: 0.8
Tanggal Upload: 5 Jun 15
Pengembang: Bernardo Damele
Lisensi: Gratis
Popularitas: 2215

Rating: 3.7/5 (Total Votes: 7)

Ini menyediakan dengan berbagai fitur yang berlangsung dari database sidik jari, atas data mengambil dari database, untuk mengakses sistem file yang mendasari dan mengeksekusi perintah pada sistem operasi melalui out-of-band koneksi.
sqlmap ditulis terutama menggunakan Python dan C kode

Fitur :.

  • Teknik:
  • Batched (ditumpuk) query dukungan, juga dikenal sebagai beberapa pernyataan mendukung
  • disimpulkan injeksi SQL buta, juga dikenal sebagai boolean berdasarkan injeksi SQL buta
  • permintaan UNION (inband) SQL injection, juga dikenal sebagai injeksi UNION penuh query SQL
  • fitur Generic:
  • Dukungan penuh untuk MySQL, Oracle, PostgreSQL dan sistem manajemen database Microsoft SQL Server back-end. Selain empat basis data sistem manajemen perangkat lunak ini, sqlmap juga dapat mengidentifikasi Microsoft Access, DB2, Informix, Sybase dan Interbase.
  • Dukungan penuh selama tiga teknik SQL injection: inferensial SQL injection buta, query UNION (inband) SQL injection dan batched dukungan permintaan. sqlmap juga dapat menguji untuk waktu berdasarkan injeksi SQL buta.
  • Hal ini dimungkinkan untuk memberikan URL target tunggal, mendapatkan daftar target dari permintaan proxy Burp log file atau WebScarab proxy yang percakapan / folder, dapatkan permintaan seluruh HTTP dari sebuah file teks atau mendapatkan daftar target dengan menyediakan sqlmap dengan dork Google yang query mesin pencari Google dan mem-parsing halaman hasil-hasilnya. Anda juga dapat mendefinisikan lingkup berdasarkan reguler ekspresi yang digunakan untuk mengidentifikasi alamat diurai untuk menguji.
  • Secara otomatis menguji semua parameter yang disediakan GET, parameter POST, nilai HTTP Cookie header dan HTTP User-Agent nilai sundulan untuk menemukan orang-orang yang dinamis, yang berarti mereka yang bervariasi HTTP konten halaman respon. Pada orang-orang yang dinamis sqlmap otomatis menguji dan mendeteksi orang-orang yang terkena dampak SQL injection. Setiap parameter dinamis diuji untuk numerik, string yang dikutip tunggal, ganda string yang dikutip dan semua dari ketiga data jenis dengan nol untuk dua kurung untuk benar mendeteksi yang merupakan sintaks SELECT untuk melakukan suntikan lebih lanjut dengan. Hal ini juga memungkinkan untuk menentukan satu-satunya parameter (s) yang Anda ingin melakukan tes dan menggunakan untuk injeksi pada.
  • Pilihan untuk menentukan jumlah maksimum permintaan HTTP bersamaan untuk mempercepat algoritma injeksi SQL buta inferensial (multi-threading). Hal ini juga memungkinkan untuk menentukan jumlah detik untuk menunggu antara setiap permintaan HTTP.
  • Cookie HTTP Header dukungan tali, berguna ketika aplikasi web memerlukan otentikasi berdasarkan cookie dan Anda memiliki data tersebut atau jika Anda hanya ingin menguji dan mengeksploitasi SQL injection pada header tersebut. Anda juga dapat menentukan untuk selalu URL-encode header Cookie.
  • Secara otomatis menangani HTTP Set-Cookie header dari aplikasi, kembali pendirian sesi jika berakhir. Test dan mengeksploitasi nilai-nilai ini didukung juga. Anda juga dapat memaksa untuk mengabaikan setiap sundulan Set-Cookie.
  • HTTP Basic, Digest, NTLM dan Sertifikat otentikasi dukungan
  • .
  • Anonymous HTTP dukungan proxy untuk melewati permintaan untuk aplikasi target yang bekerja juga dengan permintaan HTTPS.
  • Pilihan untuk palsu nilai HTTP header Referer dan HTTP User-Agent nilai sundulan ditentukan oleh pengguna atau dipilih secara acak dari sebuah file teks.
  • Dukungan untuk meningkatkan tingkat bertele-tele pesan keluaran: terdapat enam tingkat. Tingkat default adalah 1 di mana informasi, peringatan, kesalahan dan tracebacks (jika ada terjadi) akan ditampilkan.
  • granular dalam pilihan pengguna.
  • waktu Perkiraan dukungan kedatangan untuk setiap query, diperbarui secara real time saat mengambil informasi untuk memberikan kepada pengguna gambaran berapa lama waktu yang dibutuhkan untuk mengambil output.
  • dukungan otomatis untuk menyimpan sesi (permintaan dan output mereka, bahkan jika sebagian diambil) secara real time saat mengambil data pada file teks dan melanjutkan injeksi dari file ini dalam kedua kalinya.
  • Dukungan untuk membaca pilihan dari konfigurasi file INI bukan menentukan setiap kali semua pilihan pada baris perintah. Dukungan juga untuk menyimpan opsi baris perintah pada konfigurasi file INI.
  • Opsi untuk memperbarui sqlmap secara keseluruhan untuk versi pengembangan terbaru dari repositori Subversion.
  • Integrasi dengan proyek keamanan TI lainnya open source, Metasploit dan w3af.
  • Sidik Jari dan pencacahan fitur:
  • Luas versi back-end perangkat lunak database dan mendasari sistem operasi sidik jari berdasarkan pesan inband kesalahan, parsing banner, output fungsi perbandingan dan fitur khusus seperti MySQL komentar injeksi. Hal ini juga memungkinkan untuk memaksa nama back-end sistem manajemen database jika Anda sudah tahu itu.
  • Dasar software web server dan teknologi aplikasi web sidik jari.
  • Dukungan untuk mengambil DBMS banner, pengguna sesi dan informasi database saat ini. Alat ini juga dapat memeriksa apakah pengguna sesi adalah database administrator (DBA).
  • Dukungan untuk menghitung database pengguna, pengguna hash password, pengguna hak, database, tabel dan kolom.
  • Dukungan untuk membuang tabel database secara keseluruhan atau berbagai masukan sesuai pilihan pengguna. Pengguna juga dapat memilih untuk membuang hanya kolom tertentu (s).
  • Dukungan untuk secara otomatis membuang skema dan entri semua database '. Hal ini mungkin untuk mengecualikan dari dump database sistem.
  • Dukungan untuk menghitung dan dump tabel semua database 'yang berisi petunjuk yang disediakan kolom (s). Berguna untuk mengidentifikasi misalnya tabel yang berisi mandat aplikasi kustom.
  • Dukungan untuk menjalankan pernyataan SQL kustom (s) seperti pada klien SQL interaktif menghubungkan ke database back-end. sqlmap otomatis membedah pernyataan disediakan, menentukan teknik yang digunakan untuk menyuntikkan dan bagaimana mengemas SQL muatan sesuai.
  • fitur Pengambilalihan
  • Dukungan untuk menyuntikkan fungsi user-defined kustom: pengguna dapat mengkompilasi objek bersama kemudian menggunakan sqlmap untuk membuat dalam fungsi user-defined back-end DBMS keluar dari dikompilasi bersama file objek. UDFS ini kemudian dapat dieksekusi, dan opsional dihapus, melalui sqlmap juga.
  • Dukungan untuk membaca dan meng-upload file dari server database yang mendasari sistem file ketika software database MySQL, PostgreSQL atau Microsoft SQL Server.
  • Dukungan untuk mengeksekusi perintah sewenang-wenang dan mengambil output standar mereka pada database server yang mendasari sistem operasi ketika software database MySQL, PostgreSQL atau Microsoft SQL Server.
  • Dukungan untuk membangun koneksi stateful TCP out-of-band antara mesin pengguna dan sistem operasi server database yang mendasari. Saluran ini dapat menjadi command prompt interaktif, sesi meterpreter atau antarmuka pengguna (VNC) sesi grafis sesuai pilihan pengguna. sqlmap bergantung pada Metasploit untuk membuat shellcode dan menerapkan empat teknik yang berbeda untuk mengeksekusi pada server database. Teknik-teknik ini adalah:
  • Dukungan untuk proses database 'pengguna eskalasi hak istimewa melalui perintah getsystem Metasploit ini yang meliputi, antara lain, teknik kitrap0d (MS10-015) atau melalui Windows Access token penculikan dengan menggunakan ekstensi penyamaran meterpreter ini.
  • Dukungan untuk mengakses (membaca / menambah / menghapus) sarang registri Windows.

Apa yang baru dalam rilis ini:.

  • Dukungan untuk fitur pengambilalihan pada PostgreSQL 8.4
  • Dukungan untuk menghitung dan dump 'tabel yang berisi petunjuk yang disediakan kolom (s) dengan menetapkan misalnya' semua database --dump pengguna -C, pass '. Berguna untuk mengidentifikasi misalnya tabel yang berisi mandat aplikasi kustom.
  • Dukungan untuk mengurai -C (nama kolom (s)) ketika mengambil kolom tabel dengan --columns: itu akan menghitung hanya kolom seperti yang disediakan (s) dalam tabel tertentu
  • .
  • Kode Mayor pembersihan.
  • utilitas Ditambahkan file sederhana enkripsi / kompresi, ekstra / jubah / cloak.py, digunakan oleh sqlmap untuk mendekripsi pada kerang terbang Churrasco, UPX eksekusi dan web akibatnya mengurangi secara drastis jumlah software anti-virus yang keliru menandai sqlmap sebagai malware.
  • petunjuk Updated pengguna.

Persyaratan :

  • Python 2.5 atau lebih tinggi

Perangkat lunak lain dari pengembang Bernardo Damele

sqlmap
sqlmap

11 May 15

Komentar untuk sqlmap

Komentar tidak ditemukan
Tambahkan komentar
Aktifkan gambar!