Ecco un tool scritto in Perl da utilizzarsi a linea di comando che simula una console MySQL, potete recuperare la struttura del database, fare un inject di una Query, scaricare files, upload, gestire una backdoor e molto altro…

Sqlsus si concentra su installazioni PHP/MySQL e integra molte funzioni interessanti. Non è da considerarsi un SQL Injection Scanner.

Sono supportate sia le injections quoted sia quelle numeriche

Tutto il testo quoted può essere convertito nell’equivalente esadecimale (es : “sqlsus” diventerà  0×73716c737573)

Sqlsus supporta questi 2 scenari di injection

  • sighted : il risultato della richiesta sarà nell’HTML di ritorno dal webserver
  • blind : quando non potete vedere direttamente il risultato di una richiesta

Supporta i parametri GET e POST per l’injection

Supporta autenticazione HTTP Proxy e semplice

Pieno supporto al logging delle query e dei risultati, vi consente di richiamare un comando e il suo risultato in cache, anche per utilizzare la sessione successivamente.

Le variabili chiave possono essere editate al volo, salvate per sessione o caricate successivamente per lo stesso target server

Requisiti:

Su un sistema Debian dovete avere questi pacchetti:

  • libterm-readline-perl-perl
  • libipc-shareable-perl
  • libwww-mechanize-perl

Potete scaricarlo da QUI:

sqlsus-0.2.tgz

Ulteriori info QUI.


Lascia un commento