欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Pangolin--你见过的最好的sql注入工具

来源:http://www.nosec.org/ 作者:佚名 时间:2008-01-16 TAG: 我要投稿
什么是pangolin呢,它将会你是见过最好的SQL注入渗透测试工具了。

为什么会这么说呢?因为,首先它支持的数据库是目前最全的,包括:

* Access : Informations(Database Path; Root Path; Drivers); Data
* MSSql : Informations; Data; FileReader; RegReader; FileWriter; Cmd; DirTree
* MySql : Informations; Data; FileReader; FileWriter;
* Oracle : Inforatmions(Version; IP; Database; Accounts......); Data; and any others ; )
* Informix : Informatons; Data
* DB2 : Informatons; Data; and more ;)
* Sybase : Informatons; Data; and more ;)
* PostgreSQL : Informatons; Data; FileReader;
* Sqlite : Informatons; Data

目前大部分的注入工具都是针对MSSQL和Mysql再加上Oracle,Access的,对于其他中小型公司使用较少的DB2、Informix、Sybase、PostgreSQL以及Sqlite都涉及的非常少,其实这些系统也是可以做非常多的事情的。

其次,从上面也可以看出,pangolin将会使SQL注入的功能最大化。每种数据库类型都会有信息获取,数据获取两项基本功能。除此之外,还包括一些不同的数据库的特殊应用。如Mysql的读写文件操作; MSSql的读写文件操作、注册表读取、系统命令执行; Oracle的密码破解、IP地址信息获取(即使是在内网通过防火墙映射的都可以); 甚至还包括Access数据库的数据库文件路径、磁盘信息、根路径等这些比较偏的信息也能获取。其他数据库中有许多东西需要自己去从pangolin中找着玩了 ;)

这个工具一直是自己私下里开发着用的,在所有错误信息被屏蔽的情况下也能非常快的获取。现在准备发布给一些渗透测试人员使用,希望能在功能上进一步完善。

总结一下,本渗透测试工具有如下特点:
1、数据库全:基本上覆盖目前所有的数据库类型
2、速度快:应用了联合查询语句,在关闭了所有错误提示的情况下也能迅速获取数据,而绝不是一个字母一个字母的猜解
3、功能多:每个数据库类型都会对应几乎最大化的功能利用
4、检查方式准确:手工操作最少的情况下有最大的准确度

另外,本工具还有以下一些特点:

a 支持代理
b 支持手动设置任何HTTP标题头,包括User-Agent以及Cookie等信息。这个在一些需要登录的网站且存在验证码时很有用。
c 支持HTTPS
/Article/UploadPic/2008-1/2008116103138640.jpg
/Article/UploadPic/2008-1/2008116103142955.jpg
/Article/UploadPic/2008-1/2008116103142864.jpg
/Article/UploadPic/2008-1/2008116103142373.jpg
/Article/UploadPic/2008-1/2008116103142374.jpg
/Article/UploadPic/2008-1/2008116103143120.jpg
/Article/UploadPic/2008-1/2008116103143473.jpg
/Article/UploadPic/2008-1/2008116103143257.jpg
/Article/UploadPic/2008-1/2008116103143124.jpg
/Article/UploadPic/2008-1/2008116103143284.jpg
/Article/UploadPic/2008-1/2008116103143175.jpg
/Article/UploadPic/2008-1/2008116103144576.jpg 
【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载