sqlmap

sqlmap автоматический слепым орудием инъекции SQL, разработанный в Python, способен перечислить всю удаленную базу данных, выполните активную отпечаток базы данных и многое другое.
Цель sqlmap является реализация полностью функциональный инструмент сопоставителя база данных, которая занимает преимущества веб-приложений недостатков программирования безопасности, которые приводят к уязвимости SQL-инъекции

Особенности :.

• Тест дистанционного стабильности URL, основанный на страницу хэш строки или матча;
• Идентификация динамических параметров URL;
• Тест числовые, строковые (апостроф и двойные кавычки) инъекции SQL на всех динамических параметров URL и сначала она уязвима будет использоваться для выполнения будущих инъекции SQL;
• Возможный выбор метода HTTP для тестирования и эксплуатации динамических параметров, получить или POST (по умолчанию: GET);
• отпечатков пальцев из базы данных веб-приложений серверной части на основании конкретного запросов производства, которые идентифицируют характеристики баз данных и баннер захвата;
• Случайные HTTP выбор заголовка User-Agent

Заголовок
• HTTP Cookie условии, полезно, когда веб-приложение требует авторизации на основе печенья, и вы счет;
• Предоставить анонимный HTTP-адрес прокси-сервера, чтобы пройти по запросу в целевой URL;
• Другие параметры командной строки, чтобы получить баннер базы данных, базы данных, перечислить таблицы, столбцы, значения дампа, получения произвольное содержимое файла и предоставить собственное выражение SQL для запроса удаленной базы данных;
• отладочный вывод сообщения в расширенном режиме исполнения;
• установка с уклонением от уплаты magic_quotes_gpc путем кодирования каждый строку запроса, в одиночных кавычках, с CHAR (или аналогичный) функции базы данных PHP.
• Отзыв структура дерева каталогов;
• разбивается Lib / common.py: внутриполосно функциональные инъекции сейчас
• переехал в LIB / union.py;
• Обновлены файлы документации.

Что нового В этом выпуске:

• имеет Эта версия полностью переписан и мощный SQL механизм обнаружения инъекции , возможность подключения напрямую к серверу баз данных, поддержка повременной слепой инъекции SQL и ошибок на основе SQL инъекции, поддержка четырех новых систем управления базами данных, и многое другое.

Что нового в версии 0.6.4:

• Основной повышение было осуществлено, чтобы сделать алгоритм сравнения работать должным образом на URL, которые не стабильны с помощью объекта difflib Последовательность Сличитель.
• Основной повышение было сделано, чтобы поддержать заявления определения данных SQL, заявления манипулирования данными SQL, и так далее от пользователя в запросе SQL и SQL оболочки, если сложены запросы поддерживаются с помощью технологии веб-приложений.
• Значительное увеличение скорости было сделано в СУБД основного пальца.

Что нового в версии 0.6.1:

• Основной Исправление было сделано, чтобы слепой инъекции SQL Алгоритм деления пополам обрабатывать исключение.
• а Metasploit Framework 3 вспомогательный модуль был добавлен, чтобы запустить sqlmap.
• Возможность проверить и ввести также на LIKE заявления был реализован.

Что нового в версии 0.6:

• Полный код рефакторинг и многие исправлены ошибки;
• Добавлена ​​поддержка многопоточности, чтобы установить максимальное число одновременных запросов HTTP;
• Реализованные SQL оболочка (--sql-оболочка) функциональность и фиксированной запрос SQL (--sql-запрос, прежде, чем назвать -е), чтобы иметь возможность запускать любые ВЫБОР заявление и получить свой вывод в обоих внутриполосной и нападения слепых SQL-инъекций
• Добавлена ​​опция (--privileges) для получения СУБД пользователей привилегии, также уведомляет, если пользователь является администратором СУБД;
• Добавлена ​​поддержка (-с), чтобы прочитать параметры из файла конфигурации, пример действительного INI файла sqlmap.conf и поддержка (--save), чтобы сохранить параметры командной строки на конфигурационном файле;
• Создано функция, которая обновляет всю sqlmap до последней стабильной версии доступной запустив sqlmap с --update варианта;
• Создан sqlmap .deb (Debian, Ubuntu, и т.д.) и .rpm (Fedora, и т.п.) установка бинарные пакеты;
• Создан sqlmap .exe (Windows) портативный исполняемый;
• Сохранить много дополнительной информации в файл сессии, полезно при возобновлении инъекции на той же цели, чтобы не терять время на выявление инъекций, объединение полей и серверными СУБД дважды или более раз;
• Улучшена автоматическая проверка скобках при тестировании и ковка вектор запроса SQL;
• Теперь он проверяет для инъекций SQL на всех GET / POST / Cookie параметры то позволяет пользователю выбрать, какой параметр для выполнения инъекции на случай, что больше, чем один инъекционный;
• Реализована поддержка запросов HTTPS над HTTP (S) прокси;
• Добавлена ​​проверка для обработки NULL или не доступный выход запросов;
• Подробнее энтропия (randomStr () и randomInt () функции в Lib / CORE / common.py) в внутриполосно SQL-инъекции каскадного запроса и в И условие проверяет
• Улучшена структура XML файлы;
• Реализована возможность изменять заголовок HTTP на Referer;
• Добавлена ​​поддержка для выхода из файла сессии также при работе с внутриполосное нападения инъекции SQL;
• Добавлена ​​опция (--os-оболочка), чтобы выполнить команды операционной системы, если фоновый СУБД MySQL, веб-сервер имеет PHP двигатель позволяет активным и написать доступ на каталог в корне документа;
• Добавлена ​​проверка чтобы гарантировать, что при условии, строка соответствовала (--string) находится в пределах содержания страницы;
• Исправлены различные запросы в XML файле;
• Добавлена ​​ПРЕДЕЛ, ORDER BY и COUNT запросов к XML-файл и адаптированы библиотеку для разбора его;
• Исправлена ​​пароль функцию извлечения, в основном, для Microsoft SQL Server и рассмотрены функции хэши паролей разбора;
• Исправлена ​​ошибка майор, чтобы избежать tracebacks когда тестируемый параметр (ы) является динамическим, но не для инъекций;
• Улучшенная система протоколирования: добавил еще три уровня многословия, чтобы показать также HTTP отправлено и получено трафика;
• Улучшение обрабатывать Set-Cookie от целевой URL и автоматически восстановить сеанс, когда он истекает
• Добавлена ​​поддержка для введения также от параметров Set-Cookie;
• Реализовано завершение TAB и история команд на обоих --sql-оболочки и --os-оболочки;
• Переименован некоторые параметры командной строки;
• Добавлена ​​библиотека преобразования;
• Добавлена ​​схема кода и напоминания для будущих разработок
• Добавлена ​​Copyright комментарий и $ Id $ SVN свойство всех файлов Python;
• Обновлены макет командной строки и помогают сообщения;
• Обновлены некоторые строки документации;
• Обновлены файлы документации.