SQL注入测试工具:Pangolin(穿山甲)
------------------------------------------------------
免责声明:仅可用于研究学习使用,切勿用于非法犯罪活动,未经双方同意攻击目标是非法的.
---------------------------------------------------------------
Pangolin是什么?
Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。
所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。
Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。
过去有许多Sql注入工具,不过有些功能不完全,支持的数据库不够多,或者是速度比较慢。但是,在Pangolin发布以后,这些问题都得到了解决。
使用Pangolin可以用来做什么
如下是一些示例:
渗透测试人员用于发现目标存在的漏洞并评估漏洞可能产生后果的严重程度
网站管理员可以用于对自己开发的代码进行安全检测从而进行修补
安全技术研究人员能够通过Pangolin来更多更深入的理解SQL注入的技术细节
1.3 特色
如下是Pangolin提供的一部分特点:
全面的数据库支持
独创的自动关键字分析能够减少人为操作且更判断结果准确
独创的内容大小判断方法能够减少网络数据流量
最大话的Union操作能够极大的提高SQL注入操作速度
预登陆功能,在需要验证的情况下照样注入
代理支持
支持HTTPS
自定义HTTP标题头功能
丰富的绕过防火墙过滤功能
注入站(点)管理功能
数据导出功能
……等其他更多
支持的数据库类型
| 数据库类型 | 目标信息获取 | 其他 |
| MS SQL | 服务器版本、服务器名称、数据库名称、当前用户、当前用户权限、数据库列表 | 执行系统命令、读取注册表、读文件、写文件、下载远程文件、导出数据到指定的数据库服务器 |
| Oracle | 版本信息、IP地址、当前用户、当前会话权限、主机名、实例名称、用户帐号信息、外部IP地址 | 帐号破解、注入提权(adding)、远程数据存储读取 |
| Mysql | 版本、GPC判断、数据库列表、临时目录、当前用户、操作系统信息、用户帐号 | 读文件、写文件 |
| Access | 数据库路径、根目录、磁盘信息 | 只能暴力 |
| PostgreSQL | 版本信息、数据库、当前用户、当前会话用户、端口、数据路径、搜索路径 | 读文件 |
| DB2 | 版本信息、数据库、当前用户、操作系统名称、操作系统版本、主机名称 | …… |
| Sybase | …… | …… |
| Informix | …… | …… |
| Sqlite | …… | …… |
【获取方式:】
百度一下;