צילום מסך תוכנה:
פרטי תוכנה:
הוא מספק עם מגוון רחב של תכונות שנמשכות מטביעת אצבע מסד הנתונים, על נתונים שליפה ממסד הנתונים, לגישה למערכת הקבצים הבסיסית וביצוע פקודות במערכת ההפעלה באמצעות חיבורים מחוץ ללהקה.
sqlmap נכתב בעיקר באמצעות קוד פייתון ו- C
תכונות :.
- טכניקות:
- לכלכתי (מוערמות) שאילתות תמיכה, הידוע גם בהצהרות מרובות לתמוך
- הזרקת SQL עיוורת הזרקת SQL היסקית עיוורת, הידוע גם בוליאני מבוססת
- שאילתא איחוד (inband) הזרקת SQL, הידוע גם בהזרקת SQL שאילתא איחוד מלא
- תכונות גנריות:
- תמיכה מלאה עבור MySQL, Oracle, PostgreSQL ומערכות ניהול מסדי נתונים של SQL Server של מיקרוסופט עורפיות. חוץ מזה תוכנת ניהול מערכות אלה ארבעה מסד הנתונים, sqlmap יכול גם לזהות מיקרוסופט גישה, DB2, Informix, Sybase וInterbase.
- תמיכה מלאה לשלוש טכניקות הזרקת SQL: הזרקת SQL עיוורת הסקה, שאילתא איחוד הזרקת SQL (inband) ותמיכת שאילתות לכלכה. sqlmap יכול גם לבדוק להזרקת SQL זמן מבוסס עיוורת.
- אפשר לספק כתובת יעד אחד, לקבל את רשימת מטרות מבקשות פרוקסי גיהוק להיכנס שיחות קובץ או פרוקסי WebScarab / תיקייה, לקבל את כל בקשת HTTP מקובץ טקסט או לקבל את רשימת המטרות על ידי מתן sqlmap עם אידיוט גוגל ששאילתות במנוע החיפוש של גוגל ומנתח דף התוצאות שלה. ניתן גם להגדיר היקף מבוסס רגיל-ביטוי שמשמש לזיהוי השל הכתובות מנותחים לבדוק.
- באופן אוטומטי בודק את כל פרמטרים הניתנים GET, POST פרמטרים, ערכי כותרת קוקי HTTP וערך כותרת משתמש-סוכן HTTP כדי למצוא את אלה הדינמיים, מה שאומר אלה המשתנים תוכן דף תגובת HTTP. על הדינמיים אלה sqlmap באופן אוטומטי בודק ומזהה את אלה שנפגעו על ידי הזרקת SQL. כל פרמטר דינמי נבדק עבור מחרוזת מספרית, אחת מצוטטת, מחרוזת כפולה מצוטטת וכל שלושה סוגי הנתונים האלה עם אפס לשני סוגריים כדי לזהות בצורה נכונה שהוא תחביר משפט SELECT לבצע זריקות נוספות עם. אפשר גם לציין את הפרמטר היחיד (ים) שברצונך לבצע בדיקות ולהשתמש להזרקה ב.
- אפשרות לציין את המספר המרבי של בקשות HTTP במקביל כדי לזרז את אלגוריתמי הזרקת SQL העיוורים ההסקה (multi-threading). אפשר גם לציין את מספר שניות שיש להמתין בין כל בקשת HTTP.
- תמיכת מחרוזת HTTP קוקי כותרת, שימושי כאשר יישום האינטרנט מחייבת אימות המבוססת על עוגיות ויש לך נתונים אמורים או במקרה שאתה רק רוצה לבדוק ולנצל הזרקת SQL על כותרת כזו. ניתן גם לציין לתמיד URL לקודד כותרת קוקי.
- באופן אוטומטי להתמודד עם HTTP כותרת הגדרת קוקי מהיישום, לבסס מחדש של הפגישה אם הוא יפוג. בדיקה ולנצל על ערכים אלה נתמכת גם. גם אתה יכול להכריח להתעלם מכל כותרת Set-קוקי.
- HTTP בסיסי, תקציר,. תמיכת אימות NTLM והתעודה
- אנונימי HTTP תמיכת פרוקסי לעבור בבקשות ליישום היעד זה עובד גם עם בקשות HTTPS.
- אפשרויות לזיוף ערך Referer HTTP הכותרת וערך כותרת HTTP משתמש-הסוכן המוגדר על ידי משתמש או שנבחר באקראי מתוך קובץ טקסט.
- תמיכה כדי להגדיל את רמת המלל של הודעות פלט: קיימות שש רמות. רמת ברירת המחדל היא 1 שבו מידע, אזהרות, שגיאות וtracebacks (אם בכלל תתרחש) תוכלו לראות.
- גרעיניות באפשרויות של המשתמש.
- זמן משוער של הגעת תמיכה לכל שאילתא, מתעדכן בזמן אמת בעת שליפת המידע לתת למשתמש סקירה על כמה זמן זה ייקח כדי לאחזר את התפוקה.
- . תמיכה אוטומטית כדי לשמור את הפגישה (שאילתות והתפוקה שלהם, גם אם באופן חלקי תוחזר) בזמן אמת בעת שליפת הנתונים בקובץ טקסט ולחדש את הזריקה מקובץ זה בפעם שנייה
- תמיכה לקרוא אפשרויות מקובץ INI תצורה ולא לציין בכל פעם את כל האפשרויות בשורת הפקודה. תמיכה גם כדי להציל את אפשרויות שורת הפקודה בקובץ INI תצורה.
- אפשרות לעדכן sqlmap בכללותו לגרסת הפיתוח האחרונה ממאגר Subversion.
- שילוב עם פרויקטי קוד פתוח אחרת אבטחת IT, Metasploit וw3af.
- תכונות טביעות אצבע וספירה:
- גרסת תוכנת מסד הנתונים עורפי נרחבת וטביעות אצבע מערכת הפעלה בסיסית המבוססות על הודעות שגיאת inband, ניתוח דגל, השוואת פלט פונקציות ותכונות ספציפיות כגון הזרקת התגובה MySQL. אפשר גם לכפות את שם מערכת ניהול מסד הנתונים העורפי אם אתה כבר יודע את זה.
- תוכנת שרת האינטרנט בסיסית וטביעת אצבע טכנולוגית יישום האינטרנט.
- תמיכה כדי לאחזר את דגל DBMS, המשתמשים פגישה ומידע באתר נוכחי. הכלי יכול גם לבדוק אם משתמש הפגישה הוא מנהל מסד הנתונים (DBA).
- תמיכה למנות משתמשים באתר, "גיבובי הסיסמה, משתמשים של משתמשי הרשאות, מסדי נתונים, טבלאות ועמודות.
- תמיכה לזרוק טבלאות מסד הנתונים כולו או מגוון של ערכים לפי בחירת משתמש. המשתמש יכול גם לבחור לזרוק רק טור ספציפי (ים).
- תמיכה לזרוק באופן אוטומטי סכמות וערכים של כל מסדי נתונים. זה אולי להוציא מהמזבלה מסדי הנתונים של המערכת.
- תמיכה למנות ולזרוק את השולחנות כל מאגרי המידע המכילים עמודת משתמש שסופק (ים). שימושי כדי לזהות לשולחנות למשל מכילים אישורי יישומים מותאמים אישית.
- תמיכה לרוץ משפט SQL המותאם אישית (ים) כמו בלקוח SQL אינטראקטיבי התחברות למסד הנתונים העורפי. sqlmap באופן אוטומטי dissects ההצהרה סיפקה, קובע שטכניקה להשתמש כדי להזריק אותו ואיך לארוז מטען SQL בהתאם.
- השתלטות
- תמיכה להזריק פונקציות המוגדר על ידי משתמש מותאם אישית: המשתמש יכול לקמפל אובייקט משותף ולאחר מכן להשתמש sqlmap ליצור בתוך הפונקציות המוגדר על ידי משתמש DBMS העורפי מתוך הידור קובץ אובייקט המשותף. אז יכול להיות שבוצע UDFs אלה, והוציאו אופציונליים, באמצעות sqlmap מדי.
- התמיכה לקרוא ולהעלות כל קובץ מהשרת מסד הנתונים שבבסיס מערכת קבצים כאשר תוכנת מסד הנתונים היא MySQL, PostgreSQL או של Microsoft SQL Server.
- תמיכה לבצע פקודות שרירותיות ולאחזר הפלט הסטנדרטי שלהם בשרת מסד הנתונים שבבסיס מערכת הפעלה כאשר תוכנת מסד הנתונים היא MySQL, PostgreSQL או של Microsoft SQL Server.
- תמיכה כדי ליצור חיבור TCP stateful מחוץ ללהקה בין מערכת הפעלה של שרת מסד הנתונים שבבסיס המחשב והמשתמש. ערוץ זה יכול להיות מהיר אינטראקטיבי הפקודה, פגישת Meterpreter או פגישת ממשק משתמש גרפית (VNC) לפי בחירת משתמש. sqlmap מסתמך על Metasploit ליצור shellcode ומיישם ארבע טכניקות שונות כדי לבצע את זה על שרת מסד הנתונים. טכניקות אלה הן:
- תמיכה בתהליך מסד הנתונים "הסלמת הרשאות משתמש באמצעות פקודת getsystem של Metasploit הכולל, בין יתר, את טכניקת kitrap0d (MS10-015) או באמצעות Windows הגישה אסימוני חטיפה באמצעות ההרחבה בעילום שם של Meterpreter.
- תמיכה לגישה (קריאה / להוסיף / למחוק) כוורות רישום של Windows.
תכונות
מה חדש בהודעה זו:.
- תמיכה בתכונות השתלטות על PostgreSQL 8.4
- תמיכה למנות ולזרוק 'שולחנות המכילים עמודת משתמש שסופק (ים) על ידי ציון למשל "כל מסדי נתוני --dump משתמשים -C, לעבור". שימושי כדי לזהות לשולחנות למשל מכילים אישורי יישומים מותאמים אישית.
- תמיכה לנתח -C (שם עמודה (ים)) בעת תחזור עמודות של טבלה עם --columns: זה יהיה למנות עמודות רק כמו בתנאי אחד (ים) בתוך הטבלה המפורטת .
- . ניקוי קוד סרן
- כלי הצפנה / דחיסת קבצים פשוט נוסף, נוסף / גלימה / cloak.py, בשימוש על ידי sqlmap לפענח בפגזים לעוף Churrasco, UPX הפעלה ואינטרנט וכתוצאה מכך צמצום דרסטי במספר תוכנות אנטי-וירוס שטעות לסמן sqlmap כ תוכנות זדוניות.
- . המדריך למשתמש של עדכון
דרישות :
- פייתון 2.5 או גבוה
תגובות לא נמצא