什么是pangolin呢,它將會你是見過最好的SQL注入滲透測試工具了。
為什么會這么說呢?因為,首先它支持的數(shù)據(jù)庫是目前最全的,包括:
* Access : Informations(Database Path; Root Path; Drivers); Data
* MSSql : Informations; Data; FileReader; RegReader; FileWriter; Cmd; DirTree
* MySql : Informations; Data; FileReader; FileWriter;
* Oracle : Inforatmions(Version; IP; Database; Accounts......); Data; and any others ; )
* Informix : Informatons; Data
* DB2 : Informatons; Data; and more ;)
* Sybase : Informatons; Data; and more ;)
* PostgreSQL : Informatons; Data; FileReader;
* Sqlite : Informatons; Data
目前大部分的注入工具都是針對MSSQL和Mysql再加上Oracle,Access的,對于其他中小型公司使用較少的DB2、Informix、Sybase、PostgreSQL以及Sqlite都涉及的非常少,其實這些系統(tǒng)也是可以做非常多的事情的。
其次,從上面也可以看出,pangolin將會使SQL注入的功能最大化。每種數(shù)據(jù)庫類型都會有信息獲取,數(shù)據(jù)獲取兩項基本功能。除此之外,還包括一些不同的數(shù)據(jù)庫的特殊應(yīng)用。如Mysql的讀寫文件操作; MSSql的讀寫文件操作、注冊表讀取、系統(tǒng)命令執(zhí)行; Oracle的密碼破解、IP地址信息獲取(即使是在內(nèi)網(wǎng)通過防火墻映射的都可以); 甚至還包括Access數(shù)據(jù)庫的數(shù)據(jù)庫文件路徑、磁盤信息、根路徑等這些比較偏的信息也能獲取。其他數(shù)據(jù)庫中有許多東西需要自己去從pangolin中找著玩了 ;)
這個工具一直是自己私下里開發(fā)著用的,在所有錯誤信息被屏蔽的情況下也能非常快的獲取。現(xiàn)在準備發(fā)布給一些滲透測試人員使用,希望能在功能上進一步完善。
總結(jié)一下,本滲透測試工具有如下特點:
1、數(shù)據(jù)庫全:基本上覆蓋目前所有的數(shù)據(jù)庫類型
2、速度快:應(yīng)用了聯(lián)合查詢語句,在關(guān)閉了所有錯誤提示的情況下也能迅速獲取數(shù)據(jù),而絕不是一個字母一個字母的猜解
3、功能多:每個數(shù)據(jù)庫類型都會對應(yīng)幾乎最大化的功能利用
4、檢查方式準確:手工操作最少的情況下有最大的準確度
另外,本工具還有以下一些特點:
a 支持代理
b 支持手動設(shè)置任何HTTP標題頭,包括User-Agent以及Cookie等信息。這個在一些需要登錄的網(wǎng)站且存在驗證碼時很有用。
c 支持HTTPS
渝公網(wǎng)安備 50024202000196號
域名注冊知識
虛擬主機知識
網(wǎng)站建設(shè)知識
網(wǎng)絡(luò)推廣知識
網(wǎng)絡(luò)營銷知識
常見技術(shù)問題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)