ภาพหน้าจอของซอฟแวร์:
รายละเอียดซอฟแวร์:
จะให้มีความหลากหลายของคุณสมบัติที่ยั่งยืนจากลายนิ้วมือฐานข้อมูลมากกว่าข้อมูลการเรียกข้อมูลจากฐานข้อมูลในการเข้าถึงระบบไฟล์พื้นฐานและรันคำสั่งบนระบบปฏิบัติการผ่านการเชื่อมต่อออกจากวง
sqlmap ถูกเขียนส่วนใหญ่ใช้รหัสหลามและ C
คุณสมบัติ .
- เทคนิค:
- batched (ซ้อน) แบบสอบถามการสนับสนุนหรือที่เรียกว่างบสนับสนุนหลาย
- อนุมานฉีด SQL ตาบอดหรือที่เรียกว่าบูลตามฉีด SQL ตาบอด
- แบบสอบถามยูเนี่ยน (inband) ฉีด SQL ยังเป็นที่รู้จักยูเนี่ยนเต็มรูปแบบแบบสอบถามฉีด SQL
- คุณสมบัติทั่วไป:
- การสนับสนุนอย่างเต็มที่สำหรับ MySQL, Oracle, PostgreSQL และ Microsoft SQL Server back-end ระบบการจัดการฐานข้อมูล นอกจากนี้สี่ซอฟต์แวร์ระบบการจัดการฐานข้อมูล sqlmap ยังสามารถระบุ Microsoft Access, DB2, Informix, Sybase และ Interbase.
- สนับสนุนอย่างเต็มที่สำหรับสามเทคนิคฉีด SQL: อนุมานฉีด SQL ตาบอดแบบสอบถามยูเนี่ยน (inband) ฉีด SQL และการสนับสนุนคำสั่ง batched sqlmap ยังสามารถทดสอบตามเวลาฉีด SQL ตาบอด.
- มันเป็นไปได้ที่จะให้ URL เป้าหมายเดียวรับรายชื่อของเป้าหมายจากการร้องขอพร็อกซี่เรอ log file หรือผู้รับมอบฉันทะ WebScarab สนทนา / โฟลเดอร์ที่ได้รับการร้องขอ HTTP ทั้งจากแฟ้มข้อความหรือได้รับรายชื่อของเป้าหมายโดยการให้ sqlmap กับ Google ดอกซึ่งแบบสอบถามเครื่องมือค้นหาของ Google และแยกหน้าผลการดำเนินงาน นอกจากนี้คุณยังสามารถกำหนดแสดงออกปกติตามขอบเขตที่ใช้ในการระบุที่อยู่ที่แยกการทดสอบ.
- การทดสอบโดยอัตโนมัติทั้งหมดที่พารามิเตอร์ GET พารามิเตอร์ POST, HTTP ค่าส่วนหัว HTTP Cookie และตัวแทนผู้ใช้ค่าส่วนหัวที่จะหาคนแบบไดนามิกซึ่งหมายความว่าผู้ที่แตกต่างกันไปเนื้อหาของหน้าตอบสนอง HTTP ในคนที่แบบไดนามิก sqlmap ทดสอบโดยอัตโนมัติและตรวจสอบคนที่ได้รับผลกระทบโดยการฉีด SQL แต่ละพารามิเตอร์แบบไดนามิกที่มีการทดสอบสำหรับตัวเลขสายยกเดียวสายยกคู่และสิ่งเหล่านี้สามประเภทข้อมูลกับศูนย์สองวงเล็บอย่างถูกต้องตรวจสอบซึ่งเป็นไวยากรณ์คำสั่ง SELECT ในการดำเนินการต่อไปด้วยการฉีด นอกจากนี้ยังเป็นไปได้ที่จะระบุเพียงพารามิเตอร์ (s) ที่คุณต้องการที่จะดำเนินการทดสอบและใช้สำหรับการฉีดบน.
- ตัวเลือกที่จะระบุจำนวนสูงสุดของการร้องขอ HTTP พร้อมกันเพื่อเพิ่มความเร็วในการอนุมานตาบอดขั้นตอนวิธีการฉีด SQL (หลายเธรด) นอกจากนี้ยังเป็นไปได้ที่จะระบุจำนวนวินาทีที่จะรอระหว่างการร้องขอ HTTP แต่ละ.
- HTTP สนับสนุนสตริงส่วนหัวของคุกกี้ประโยชน์เมื่อโปรแกรมประยุกต์บนเว็บต้องตรวจสอบขึ้นอยู่กับคุกกี้และคุณมีข้อมูลดังกล่าวหรือในกรณีที่คุณต้องการเพียงแค่การทดสอบและใช้ประโยชน์จากการฉีด SQL บนส่วนหัวดังกล่าว นอกจากนี้คุณยังสามารถระบุเสมอ URL-เข้ารหัสส่วนหัวของคุกกี้.
- โดยอัตโนมัติจับส่วนหัว HTTP ตั้งคุกกี้จากโปรแกรมอีกครั้งการสร้างของเซสชั่นถ้ามันหมดอายุ การทดสอบและการใช้ประโยชน์จากค่าเหล่านี้ได้รับการสนับสนุนมากเกินไป นอกจากนี้คุณยังสามารถบังคับที่จะไม่สนใจใด ๆ ส่วนหัวของคุกกี้ชุด.
- HTTP พื้นฐาน Digest, NTLM และรับรองการสนับสนุน authentications.
- ไม่ประสงค์ออกนามสนับสนุน HTTP พร็อกซี่ที่จะผ่านโดยการร้องขอไปยังโปรแกรมประยุกต์เป้าหมายที่ทำงานนอกจากนี้ยังมีการร้องขอ HTTPS.
- ตัวเลือกเพื่อปลอมมูลค่า Referer ส่วนหัว HTTP และค่าส่วนหัว User-Agent HTTP ที่ระบุโดยผู้ใช้หรือการสุ่มเลือกจากแฟ้มข้อความ.
- การสนับสนุนเพื่อเพิ่มระดับฟุ่มเฟื่อยของข้อความที่ส่งออก: มีอยู่หกระดับ ระดับเริ่มต้นคือ 1 ที่ข้อมูลคำเตือนข้อผิดพลาดและ tracebacks (ถ้ามีเกิดขึ้น) จะแสดง.
- เมล็ดในตัวเลือกของผู้ใช้.
- เวลาโดยประมาณของการสนับสนุนการมาถึงสำหรับการค้นหาแต่ละการปรับปรุงในเวลาจริงในขณะที่การเรียกข้อมูลที่จะมอบให้กับผู้ใช้ภาพรวมเกี่ยวกับวิธีการที่จะใช้เวลานานที่จะดึงออก.
- การสนับสนุนโดยอัตโนมัติเพื่อประหยัดเซสชั่น (คำสั่งและการส่งออกของพวกเขาแม้ว่าดึงบางส่วน) ในเวลาจริงในขณะที่การเรียกข้อมูลในแฟ้มข้อความและดำเนินการฉีดจากไฟล์นี้ในครั้งที่สอง.
- การสนับสนุนในการอ่านตัวเลือกจากการกำหนดค่าไฟล์ INI มากกว่าทุกครั้งที่ระบุทั้งหมดของตัวเลือกในบรรทัดคำสั่ง การสนับสนุนที่จะช่วยเลือกบรรทัดคำสั่งในการกำหนดค่าไฟล์ INI.
- ตัวเลือกในการปรับปรุง sqlmap เป็นทั้งรุ่นพัฒนาล่าสุดจากพื้นที่เก็บข้อมูลการโค่นล้ม.
- บูรณาการกับการรักษาความปลอดภัยไอทีอื่น ๆ โครงการที่มาเปิด Metasploit และ w3af.
- ลายนิ้วมือและคุณสมบัติการแจงนับ:
- ฐานข้อมูล back-end อย่างกว้างขวางรุ่นซอฟต์แวร์และระบบปฏิบัติการที่รองรับลายนิ้วมือที่อยู่บนพื้นฐานของข้อผิดพลาด inband, แยกแบนเนอร์ฟังก์ชั่นการเปรียบเทียบผลผลิตและคุณสมบัติเฉพาะเช่นการฉีดคิดเห็น MySQL นอกจากนี้ยังเป็นไปได้ที่จะบังคับให้กลับสิ้นชื่อระบบจัดการฐานข้อมูลถ้าคุณรู้อยู่แล้วว่ามัน.
- ซอฟต์แวร์เว็บเซิร์ฟเวอร์ขั้นพื้นฐานและการประยุกต์ใช้เว็บเทคโนโลยีลายนิ้วมือ.
- การสนับสนุนเพื่อดึงแบนเนอร์ DBMS ผู้ใช้เซสชั่นและข้อมูลฐานข้อมูลปัจจุบัน เครื่องมือนี้ยังสามารถตรวจสอบว่าผู้ใช้เซสชั่นเป็นผู้ดูแลฐานข้อมูล (DBA).
- การสนับสนุนในการระบุผู้ใช้ฐานข้อมูลผู้ใช้ 'แฮชรหัสผ่านของผู้ใช้สิทธิฐานข้อมูลตารางและคอลัมน์.
- การสนับสนุนการถ่ายโอนข้อมูลตารางฐานข้อมูลโดยรวมหรือช่วงของรายการตามทางเลือกของผู้ใช้ ผู้ใช้ยังสามารถเลือกที่จะถ่ายโอนข้อมูลคอลัมน์เฉพาะ (s).
- การสนับสนุนการถ่ายโอนข้อมูลโดยอัตโนมัติ schemas ฐานข้อมูลทั้งหมดและรายการ มันอาจจะเป็นที่จะแยกออกจากการถ่ายโอนฐานข้อมูลของระบบ.
- การสนับสนุนในการระบุและการถ่ายโอนข้อมูลตารางฐานข้อมูลทั้งหมดที่มีผู้ใช้บริการที่มีให้คอลัมน์ (s) ที่เป็นประโยชน์ในการระบุสำหรับตารางที่มีข้อมูลประจำตัวเช่นโปรแกรมที่กำหนดเอง.
- การสนับสนุนการเรียกใช้คำสั่ง SQL ที่กำหนดเอง (s) ในขณะที่ลูกค้าของ SQL โต้ตอบการเชื่อมต่อกับฐานข้อมูล back-end sqlmap โดยอัตโนมัติ dissects คำสั่งให้กำหนดเทคนิคที่จะใช้ในการฉีดมันและวิธีการที่จะแพ็คบรรจุ SQL ตาม.
- คุณสมบัติเทคโอเวอร์
- การสนับสนุนการฉีดฟังก์ชั่นที่ผู้ใช้กำหนดที่กำหนดเอง: ผู้ใช้สามารถรวบรวมวัตถุที่ใช้ร่วมกันจากนั้นใช้ sqlmap ในการสร้างที่อยู่ใน back-end ที่ผู้ใช้กำหนด DBMS ฟังก์ชั่นออกจากไฟล์ที่รวบรวมวัตถุที่ใช้ร่วมกัน UDF ของเหล่านั้นจะสามารถดำเนินการและเลือกลบออกผ่าน sqlmap เกินไป.
- การสนับสนุนการอ่านและการอัปโหลดไฟล์ใด ๆ จากเซิร์ฟเวอร์ฐานข้อมูลพื้นฐานระบบแฟ้มเมื่อซอฟต์แวร์ฐานข้อมูล MySQL, PostgreSQL หรือ Microsoft SQL Server.
- การสนับสนุนเพื่อรันคำสั่งโดยพลการและดึงออกมาตรฐานของพวกเขาในเซิร์ฟเวอร์ฐานข้อมูลพื้นฐานของระบบปฏิบัติการเมื่อซอฟต์แวร์ฐานข้อมูล MySQL, PostgreSQL หรือ Microsoft SQL Server.
- การสนับสนุนที่จะสร้างออกจากวงของการเชื่อมต่อ TCP stateful ระหว่างเครื่องของผู้ใช้และเซิร์ฟเวอร์ฐานข้อมูลพื้นฐานของระบบปฏิบัติการ ช่องทางนี้จะมีพร้อมรับคำสั่งแบบโต้ตอบ Meterpreter เซสชั่นหรือส่วนติดต่อผู้ใช้แบบกราฟิก (VNC) เซสชั่นตามทางเลือกของผู้ใช้ sqlmap อาศัย Metasploit เพื่อสร้าง shellcode และดำเนินการสี่เทคนิคที่แตกต่างในการดำเนินการบนเซิร์ฟเวอร์ฐานข้อมูล เทคนิคเหล่านี้คือ:
- การสนับสนุนสำหรับกระบวนการฐานข้อมูล 'การเพิ่มผู้ใช้สิทธิ์ผ่านทางคำสั่งของ Metasploit getsystem ซึ่งรวมถึงหมู่คนเทคนิค kitrap0d (MS10-015) หรือผ่านทาง Windows มีการเข้าถึงสัญญาณการลักพาตัวโดยใช้นามสกุลไม่ระบุตัวตนของ Meterpreter.
- การสนับสนุนในการเข้าถึง (อ่าน / เพิ่ม / ลบ) ลมพิษรีจิสทรี Windows.
มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.
- การสนับสนุนสำหรับคุณสมบัติการรัฐประหารใน PostgreSQL 8.4
- การสนับสนุนในการระบุและการถ่ายโอนข้อมูล 'ตารางที่มีผู้ใช้บริการที่มีให้คอลัมน์ (s) โดยการระบุเช่น' ฐานข้อมูลทั้งหมดของผู้ใช้ --dump -C ผ่าน ' ที่เป็นประโยชน์ในการระบุสำหรับตารางที่มีข้อมูลประจำตัวเช่นโปรแกรมที่กำหนดเอง.
- การสนับสนุนที่จะแยก -C (ชื่อคอลัมน์ (s)) เมื่อเรียกคอลัมน์ของตารางที่มี --columns มันจะระบุคอลัมน์เท่านั้นเช่นให้หนึ่ง (s) ในตารางที่ระบุ .
- ล้างรหัสเมเจอร์.
- การเข้ารหัสไฟล์ง่ายเพิ่ม / ยูทิลิตี้การบีบอัดเสริม / เสื้อคลุม / cloak.py โดยใช้ sqlmap การถอดรหัสที่บิน Churrasco, UPX ปฏิบัติการและหอยเว็บจึงลดลงอย่างมากจำนวนของโปรแกรมป้องกันไวรัสที่หลงผิดทำเครื่องหมาย sqlmap เป็น มัลแวร์.
- คู่มือการใช้การปรับปรุงของ.
ต้องการ
- งูหลาม 2.5 หรือสูงกว่า
ความคิดเห็นที่ไม่พบ