當前位置:
首頁 > 最新 > webug靶場第五關工具推薦,SQL注入工具合集

webug靶場第五關工具推薦,SQL注入工具合集

最新 03-20

(圖片源於網路,侵刪)

PS:webug第五關考的又是SQL注入。所以就推薦一些工具吧。

關於之前的SQL注入,可以看一下這個:黑客入門丨SQL注入攻擊及思路延伸,webug靶場實戰。 下面我們就介紹一下SQL注入工具吧,不知道你們喜歡那個?反正我喜歡Sqlmap。

1.BSQL Hacker

BSQL Hacker是由Portcullis實驗室開發的,BSQL Hacker 是一個SQL自動注入工具(支持SQL盲注),其設計的目的是希望能對任何的資料庫進行SQL溢出注入。 BSQL Hacker的適用群體是那些對注入有經驗的使用者和那些想進行自動SQL注入的人群。BSQL Hacker可自動對Oracle和MySQL資料庫進行攻擊,並自動提取資料庫的數據和架構。

2.The Mole

The Mole是一款開源的自動化SQL注入工具,其可繞過IPS/IDS(入侵防禦系統/入侵檢測系統)。只需提供一個URL和一個可用的關鍵字,它就能夠檢測注入點並利用。The Mole可以使用union注入技術和基於邏輯查詢的注入技術。The Mole攻擊範圍包括SQL Server、MySQL、Postgres和Oracle資料庫。

3.Pangolin

Pangolin是一款幫助滲透測試人員進行SQL注入(SQL Injeciton)測試的安全工具。Pangolin與JSky(Web應用安全漏洞掃描器、Web應用安全評估工具)都是NOSEC公司的產品。Pangolin具備友好的圖形界面以及支持測試幾乎所有資料庫(Access、MSSql、MySql、Oracle、Informix、DB2、Sybase、PostgreSQL、Sqlite)。Pangolin能夠通過一系列非常簡單的操作,達到最大化的攻擊測試效果。它從檢測注入開始到最後控制目標系統都給出了測試步驟。Pangolin是目前國內使用率最高的SQL注入測試的安全軟體。

4.Sqlmap

Sqlmap是一個自動SQL 注入工具。其可勝任執行一個廣泛的資料庫管理系統後端指紋,檢索DBMS資料庫、usernames、表格、列、並列舉整個DBMS信息。Sqlmap提供轉儲資料庫表以及MySQL、PostgreSQL、SQL Server伺服器下載或上傳任何文件並執行任意代碼的能力。

5.Havij

Havij是一款自動化的SQL注入工具,它能夠幫助滲透測試人員發現和利用Web應用程序的SQL注入漏洞。Havij不僅能夠自動挖掘可利用的SQL 查詢,還能夠識別後台資料庫類型、檢索數據的用戶名和密碼hash、轉儲表和列、從資料庫中提取數據,甚至訪問底層文件系統和執行系統命令,當然前提是有 一個可利用的SQL注入漏洞。Havij支持廣泛的資料庫系統,如 MsSQL, MySQL, MSAccess and Oracle。 Havij支持參數配置以躲避IDS,支持代理,後台登陸地址掃描。

6.Enema SQLi

Enema SQLi與其他 SQL注入工具不同的是,Enema SQLi不是自動的,想要使用Enema SQLi需要一定的相關知識。Enema SQLi能夠使用用戶自定義的查詢以及插件對SQL Server和MySQL資料庫進行攻擊。支持基於error-based、Union-based和blind time-based的注入攻擊。

7.SQLninja

SQLninja軟體用Perl編寫,符合GPLv2標準。SQLninja的目的是利用Web應用程序中的SQL注入式漏洞,它依靠微軟的SQL Server作為後端支持。其主要的目標是在存在著漏洞的資料庫伺服器上提供一個遠程的外殼,甚至在一個有著嚴格的防範措施的環境中也能如此。在一個SQL注入式漏洞被發現以後,企業的管理員特別是滲透攻擊的測試人員應當使用它,它能自動地接管資料庫伺服器。現在市場上有許多其它的SQL注入式漏洞工具,但SQLninja與其它工具不同,它無需抽取數據,而著重於在遠程資料庫伺服器上獲得一個互動式的外殼,並將它用作目標網路中的一個立足點。

8.sqlsus

sqlsus是一個開放源代碼的MySQL注入和接管工具,sqlsus使用perl編寫並基於命令行界面。sqlsus可以獲取資料庫結構,注入你自己的SQL語句,從伺服器下載文件,爬行web站點可寫目錄,上傳和控制後門,克隆資料庫等。

9.Safe3 SQL Injector

Safe3 SQL Injector是一個最強大和最易使用的滲透測試工具,它可以自動檢測和利用SQL注入漏洞和資料庫伺服器的過程中。Safe3 SQL Injector具備讀取MySQL、Oracle、PostgreSQL、SQL Server、Access、SQLite、Firebird、Sybase、SAP MaxDB等資料庫的能力。同時支持向MySQL、SQL Server寫入文件,以及SQL Server和Oracle中執行任意命令。Safe3 SQL Injector也支持支持基於error-based、Union-based和blind time-based的注入攻擊。

10.SQL Poizon

SQL Poizon的圖形界面使用戶無需深厚的專業知識便能夠進行攻擊,SQL Poizon掃描注入工具內置瀏覽器可幫助查看注入攻擊帶來的影響。SQL Poizon充分利用搜索引擎「dorks」掃描互聯網中存在SQL注入漏洞的網站。

PS:以上推薦工具找一兩個長期練習精通,剩下的下載下來嘗試一下就好了。工具就是要不斷嘗試啊,不要以為會一兩個就很厲害了。

安全犀牛

資訊、交流、入群點關注


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 安全犀牛 的精彩文章:

web滲透測試流程,可當學習框架
一個抓取整個網站內容的工具,HTTrack

TAG:安全犀牛 |