Seguridad

Lista de las MEJORES HERRAMIENTAS SQLi

Lista de las MEJORES HERRAMIENTAS SQLi
La inyección SQL, también conocida como SQLi, es una técnica en la que las aplicaciones basadas en datos pueden ser atacadas a través de código SQL inyectado maliciosamente. Los atacantes pueden acceder, modificar o destruir bases de datos mediante SQLi. Es una de las técnicas más comunes utilizadas en Web Hacking.

Si bien la inyección de SQL puede ser peligrosa, ejecutar diferentes comandos mediante la entrada de la página web para realizar SQLi puede ser un trabajo muy ajetreado. Desde la recopilación de datos hasta el desarrollo de la carga útil adecuada puede ser un trabajo que requiere mucho tiempo y, a veces, es frustrante. Aquí es donde entran en juego las herramientas. Existen numerosas herramientas disponibles para probar y explotar diferentes tipos de inyecciones SQL. Discutiremos algunos de los mejores.

Havij:

Havij (que significa zanahoria en persa) es una herramienta de ITSecTeam, una empresa de seguridad iraní. Es una herramienta SQLi totalmente automatizada y habilitada para GUI y es compatible con una variedad de técnicas SQLi. Fue desarrollado para ayudar a los probadores de penetración a encontrar vulnerabilidades en páginas web. Es una herramienta fácil de usar e incluye funciones avanzadas también, por lo que es buena tanto para principiantes como para profesionales. Havij también tiene una versión Pro. Lo emocionante de Havij es la tasa de inyección exitosa del 95% en objetivos vulnerables. Havij solo está hecho para Windows, pero se puede usar Wine para que funcione en Linux. Aunque el sitio oficial de ITSecTeam ha estado inactivo durante mucho tiempo, Havij y Havij Pro están disponibles en muchos sitios web y GitHub Repos.

BBQSQL:

BBQSQL conocido como marco de inyección 'Blind SQL' lo ayuda a abordar problemas cuando las herramientas de explotación disponibles no funcionan. Escrito en Python, es una especie de herramienta semiautomática que permite la personalización hasta cierto punto para cualquier hallazgo complejo de inyección SQL. BBQSQL hace varias preguntas en un enfoque basado en menús y luego crea la inyección / ataque de acuerdo con la respuesta del usuario. Es una herramienta muy versátil con interfaz de usuario incorporada para facilitar su uso. Y el uso de Python Gevent lo hace bastante rápido. Proporciona información sobre cookies, archivos, autenticación HTTP, proxies, URL, método HTTP, encabezados, métodos de codificación, comportamiento de redirecciones, etc. Los requisitos previos al uso incluyen la configuración de parámetros, opciones y luego configurar el ataque según sea necesario. La configuración de la herramienta se puede cambiar para usar una técnica de búsqueda binaria o de frecuencia. También puede determinar si la inyección de SQL funcionó con solo buscar algunos valores específicos en las respuestas HTTP de la aplicación. La base de datos muestra un mensaje de error que se queja de la sintaxis incorrecta de SQL Query si el atacante explota con éxito la inyección SQL. La única diferencia entre Blind SQL y la inyección SQL normal es la forma en que se recuperan los datos de la base de datos.

Instale BBQSQL:

$ apt-GET instalar bbqsql

Leviatán:

La palabra Leviatán se refiere a una criatura marina, un demonio marino o un monstruo marino. La herramienta se llama así debido a su función de ataque. La herramienta se lanzó por primera vez en Black Hat USA 2017 Arsenal. Es un marco que consta de muchas herramientas de código abierto, incluidas masscan, ncrack, DSSS, etc. para realizar diferentes acciones, incluido SQLi, exploit personalizado, etc. Las herramientas también se pueden utilizar en combinación. Se usa comúnmente para tareas de prueba de penetración, como descubrir máquinas e identificar las vulnerables, enumerar los servicios que funcionan en estos dispositivos y encontrar posibilidades de ataque a través de la simulación de ataques. Puede identificar vulnerabilidades en Telnet, SSH, RDP, MYSQL y FTP. Leviathan es muy competente en la comprobación de vulnerabilidades de SQL en URL. El objetivo básico de la herramienta Leviathan es realizar escaneos masivos en muchos sistemas a la vez. La habilidad de verificar las vulnerabilidades de SQL hace que Leviathan. Las dependencias necesarias para usar Leviathan Framework son bs4, shodan, google-API-python-client, lxml, paramiko, solicitudes.

Instale Leviathan:

$ Git clon https: // github.com / leviathan-framework / leviathan.git
$ Cd leviatán
Requisitos de $ pip install -r.TXT

Ventana blanca:

Whitewidow es una herramienta de uso común para el análisis de vulnerabilidades en la seguridad de aplicaciones y las pruebas de penetración. La mayoría de las personas interesadas en esta herramienta son probadores de lápiz y profesionales de la seguridad. Whitewidow también es de código abierto y es un escáner de vulnerabilidad SQL automatizado que puede usar una lista de archivos o Google para rastrear sitios web potencialmente vulnerables. El objetivo principal de esta herramienta era aprender y decirles a los usuarios cómo es la vulnerabilidad. WhiteWidow requiere algunas dependencias para funcionar, como: mecanizar, nokogiri, rest-client, webmock, rspec y vcr. Está desarrollado en un lenguaje de programación ruby. Se utilizan miles de consultas cuidadosamente investigadas para rastrear a Google en busca de vulnerabilidades en diferentes sitios web. Cuando inicie Whitewidow, comenzará a buscar sitios vulnerables de inmediato. Posteriormente se pueden explotar manualmente.

Instale WhiteWidow:

$ Git clon https: // github.com / WhitewidowScanner / whitewidow.git
$ Cd whitewidow
$ Paquete de instalación

Inyección jSQL:

jSQL es una herramienta automática de inyección SQL basada en Java, de ahí el nombre jSQL.
Es FOSS y es compatible con varias plataformas. Se ensambla utilizando bibliotecas como Hibernate, Spock y Spring. jSQL Injection admite 23 bases de datos diferentes, incluidas Access, MySQL, SQL Server, Oracle, PostgreSQL, SQLite, Teradata, Firebird, Ingris y muchas más. La inyección jSQL se coloca en GitHub y utiliza la plataforma Travis CI para una integración continua. Comprueba múltiples estrategias de inyección: normal, error, ciego y tiempo. Tiene otras características como búsqueda de páginas de administración, fuerza bruta de hash de contraseña, creación y visualización de shell web y shell SQL, etc. jSQL Injection también puede leer o escribir archivos.
La inyección jSQL está disponible en sistemas operativos como Kali, Parrot OS, Pentest Box, BlackArch Linux y otras distribuciones de prueba de lápiz.

Instale jSQL:

$ apt-GET instalar jsql

SQLmap

SQLmap es una herramienta automatizada escrita en Python que comprueba automáticamente las vulnerabilidades de SQL, las aprovecha y se hace cargo de los servidores de bases de datos. Es un software gratuito y de código abierto y es probablemente la herramienta más utilizada para realizar pruebas de penetración en objetivos vulnerables de SQLi. Es un software gratuito y de código abierto con un motor de detección increíblemente potente. Creado por Daniele Bellucci en 2006, luego fue desarrollado y promovido por Bernardo Damele. El paso más notable en el desarrollo de sqlmap fue Black Hat Europe 2009, que se convirtió en el centro de atención con toda la atención de los medios. SQLmap es compatible con la mayoría de tipos de bases de datos, técnicas de inyección SQL y descifrado de contraseñas basadas en ataques basados ​​en diccionarios. También se puede utilizar para editar / descargar / cargar archivos en una base de datos. El comando getsystem de Meterpreter (Metasploit) se utiliza para la intensificación de privilegios. Para la tunelización ICMP, se agrega una biblioteca impacket. SQLmap proporciona la recuperación de resultados mediante la resolución recursiva de DNS mucho más rápido que los métodos basados ​​en tiempo o booleanos. Las consultas SQL se utilizan para activar las solicitudes de DNS necesarias. SQLmap es compatible con python 2.6,2.7 y python 3 en adelante.
Según Ed Skoudis, un ataque SQLmap completo depende de un modelo de 5 pasos:

  1. Reconocimiento
  2. Exploración
  3. Explotar
  4. Manteniendo el acceso
  5. Cubriendo pistas

Instalar SQLmap:

$ Apt-GET instalar sqlmap

O

$ Git clon https: // github.com / sqlmapproject / sqlmap.git
$ Cd sqlmap
$ Python sqlmap.py

Aunque esta lista es compacta, consta de las herramientas más populares que se utilizan para detectar y explotar SQLi. La inyección SQL es una vulnerabilidad muy común y viene en una variedad de formas, por lo que las herramientas son realmente útiles para la detección de estas vulnerabilidades y ayudan a muchos probadores de penetración y script-kiddies a hacer el trabajo de una manera realmente fácil.

Feliz inyección!

Descargo de responsabilidad: el artículo escrito anteriormente es solo para fines educativos. Es responsabilidad del usuario no utilizar las herramientas proporcionadas anteriormente en un objetivo sin permiso.

Juegos Cómo usar AutoKey para automatizar juegos de Linux
Cómo usar AutoKey para automatizar juegos de Linux
AutoKey es una utilidad de automatización de escritorio para Linux y X11, programada en Python 3, GTK y Qt. Usando su funcionalidad de scripting y MAC...
Juegos Cómo mostrar el contador de FPS en juegos de Linux
Cómo mostrar el contador de FPS en juegos de Linux
Los juegos de Linux obtuvieron un gran impulso cuando Valve anunció el soporte de Linux para el cliente Steam y sus juegos en 2012. Desde entonces, mu...
Juegos Cómo descargar y jugar Sid Meier's Civilization VI en Linux
Cómo descargar y jugar Sid Meier's Civilization VI en Linux
Introducción al juego Civilization 6 es una versión moderna del concepto clásico introducido en la serie de juegos Age of Empires. La idea era bastant...