联系方式

站长:
联系人:赵先生
手机:18183869808

QQ 64816414
保健茶:

联系人:罗小姐

电话:15368244381

QQ 834856496

Pangolin-你见过最好的SQL注入工具
发布者:findallove 类型:杂器快贴 发布时间:2018-10-21 3:41:50 浏览:3671次 [回复]

Name: Pangolin
Version: 1.2.4.584
Author: ZwelL
Updated: 2008.01.22
Link: http://www.nosec.org/web/index.php?q=pangolin
Download: 点击进入下载页面

一、简介

Pangolin是一款Windows平台下的自动化SQL注入渗透测试工具。他实现了从检测到利用完成一体化的渗透攻击动作,尽可能的将SQL注入攻击效果最大化。很明显,他是个大男人。; )

使用平台:Windows XP SP1/SP2; Windows 2003 Server SP1; Windows Vista; 其他平台未测试,有测试过运行无误的朋友还望告知,谢谢。

二、功能

1.支持的数据库类型

 数据库类型  目标信息获取  其他
 MS SQL  服务器版本、服务器名称、数据库名称、当前用户、当前用户权限、数据库列表  执行系统命令、读取注册表、读文件、写文件、下载远程文件、导出数据到指定的数据库服务器
 Oracle  版本信息、IP地址、当前用户、当前会话权限、主机名、实例名称、用户帐号信息、外部IP地址  帐号破解、注入提权(adding)
 Mysql  版本、GPC判断、数据库列表、临时目录、当前用户、操作系统信息、用户帐号  读文件、写文件
 Access  数据库路径、根目录、磁盘信息  只能暴力
 PostgreSQL  版本信息、数据库、当前用户、当前会话用户、端口、数据路径、搜索路径  读文件
 DB2  待整理  待整理
 Sybase  待整理  待整理
 Informix  待整理  待整理
 Sqlite  待整理  待整理

2.详细功能

待整理

3.总结

    数据库全:基本上覆盖目前所有的数据库类型

    速度快:应用了联合查询语句,在关闭了所有错误提示的情况下也能迅速获取数据,而绝不是一个字母一个字母的猜解功能多:

    每个数据库类型都会对应几乎最大化的功能利用

    检查方式准确:手工操作最少的情况下有最大的准确度。独创的根据返回内容大小来尽可能的避免关键字;从1.2.3.577版本开始加入了一个非常有用的功能: 能够自动分析关键字(无需用户手动输入) ; )

    另外,本工具还有以下一些特点:

  • 独创的“关键字自动分析”技术
  • 能够绕过某些输入过滤防火墙
  • 独创的valide size判断技术
  • 支持代理
  • 支持手动设置任何HTTP标题头,包括User-Agent以及Cookie等信息。这个在一些需要登录的网站且存在验证码时很有用。
  • 支持HTTPS

三、配置

  1. 配置HTTP标题头 
  2. 配置代理
  3. 配置扫描项
  4. 配置高级项

四、贡献者列表

在Pangolin的开发过程中,得到了许多朋友的支持和帮助,这里特别要感谢如下人员:

五、使用问题集

  1. 如何使用代理?
  2. 目标系统不允许使用空格,这种情况下还能测试吗?
  3. 如何对需要登录的系统进行测试?
  4. 目标系统不允许使用select关键字,这种情况下还能测试吗?
  5. 为什么有些系统测试起来速度很快,而有些系统只能一个字符一个字符这样的猜呢?

参考:关于使用pangolin工具的一些说明

六、用实际行动支持Pangolin

你可以通过邮件zwell@sohu.com联系我,或者加我的MSN:zwell@yeah.net一起探讨如何对Pangolin进行不断的改进。

当然,我也希望有兴趣的安全公司对我进行“非精神方面”的支持,;)这样您能在第一时间内获取到最新版本,最全功能的Pangolin。

七、下载

点击进入下载页面

八、软件截图

夜火:图片有点大~,点击看大图)

     

     

     

   

2008-06-07更新:Pangolin v1.3.0.630 下载


源地址:http://www.zaqi.net/word_view.asp?files_id=3057
上一篇:Discuz!论坛wap功能模块编码的注射漏洞
下一篇:正则表达式基础知识
零售:¥80元
批发:¥76元
特价:¥20元
零售:¥25元
批发:¥18元
零售:¥50元
批发:¥35元
杂器网络版权所有  免责声明