神器SQLMap v1.3.10自动SQL注入和数据库接管工具更新

对于广大渗透测试和网络安全研究人员来说,SQLMap想必是大家非常熟悉的东西了。SQLMap是一个开源的渗透测试工具,可以用来对目标应用进行自动化的SQL注入漏洞检测,并且利用已发现的SQL注入漏洞,从而帮助渗透测试人员获取到目标应用背后数据库服务器的访问权限。

SQLMap带有功能强大的漏洞扫描与检测引擎,可以针对各种不同类型数据库进行渗透测试,并且还提供了大量的渗透测试功能选项,其中包括获取数据库中存储的数据,访问目标服务器的操作系统文件,甚至还可以通过外带数据连接的方式执行操作系统命令。

特征
  • 全面支持MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase,SAP MaxDB,HSQLDB和Informix数据库管理系统。
  • 全面支持六种SQL注入技术:基于布尔的盲注,基于时间的盲注,基于错误,基于UNION查询,堆叠查询和带外
  • 通过提供DBMS凭据,IP地址,端口和数据库名称,支持直接连接到数据库而无需通过SQL注入。
  • 支持枚举用户,密码哈希,特权,角色,数据库,表和列
  • 自动识别密码哈希格式并支持使用基于字典的攻击破解它们
  • 支持根据用户的选择完全转储数据库表,一系列条目或特定列。用户还可以选择仅转储每列条目中的一部分字符。
  • 支持搜索特定数据库名称,所有数据库中的特定表或所有数据库表中的特定列。例如,这对于识别包含自定义应用程序凭据的表很有用,其中相关列的名称包含诸如name和pass之类的字符串。
  • 当数据库软件是MySQL,PostgreSQL或Microsoft SQL Server时,支持从数据库服务器基础文件系统下载和上传任何文件
  • 支持执行任意指令和检索他们的标准输出底层当数据库软件MySQL和PostgreSQL或Microsoft SQL Server操作系统的数据库服务器上。
  • 支持在攻击者机器与底层操作系统的数据库服务器之间建立带外状态TCP连接。根据用户的选择,此通道可以是交互式命令提示符,Meterpreter会话或图形用户界面(VNC)会话。
  • 通过Metasploit的Meterpreter 命令支持数据库进程的用户权限升级getsystem

链接

aimorc

我还没有学会写个人说明!

相关推荐

Leave a Reply

Your email address will not be published. Required fields are marked *

one × two =

微信扫一扫,分享到朋友圈

神器SQLMap v1.3.10自动SQL注入和数据库接管工具更新
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close