Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Herramientas automatizadas para ataques SQL injection




SQL injection es una técnica de inyección de código intruso que se vale de una vulnerabilidad informática  en una aplicación a nivel de validación de entradas para realizar operaciones sobre una base de datos. La vulnerabilidad existe cuando se realiza un incorrecto chequeo o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Se conoce como “SQL injection”, indistintamente del tipo de vulnerabilidad y del método de inyección, al hecho de inyectar código SQL intruso y a la porción de código inyectado.

 



SQL Power Injection Injector


Su principal baza es la capacidad de automatizar inyecciones SQL pesadas utilizando para ello múltiples procesos.

Principales características:
  • Disponible para las plataformas: Windows, Unix y Linux.
  • Soporta SSL.
  • Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
  • Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.

Más información y descarga de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/

Tutorial de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/docs/TutorialSPInjv1.1.pdf

SQLMap





Es una aplicación de automatización de inyección ciega de SQL, desarrollada en Python. Es capaz de generar una huella digital activa del sistema de administración de bases de datos.

Principales características:

  • Al estar escrita en Python es multiplataforma.
  • El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL.
  • Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.

Más información y descargar SQLMap :
http://sqlmap.org/

Documentación modo de empleo SQLMap:
https://github.com/sqlmapproject/sqlmap/wiki

PostHeaderIcon Tutorial - Manual SQLmap: ataques SQLi - Inyección SQL


SQLNinja





Es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos.

Principales características:

  • Realiza Fingerprint de servidores SQL.
  • Realiza ataques de fuerza a bruta a la cuenta del “sa”.
  • Utiliza técnicas de evasión de IDS/IPS/WAF.
  • Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.

Más información y descargar de SQLNinja:
http://sqlninja.sourceforge.net/

Manuales de SQLNinja:
http://sqlninja.sourceforge.net/sqlninja-howto.html

WITOOL




Una sencilla herramienta de inyección SQL que solo está disponible para plataformas Windows. Esta herramienta solo soporta Ms SQL y Oracle, pero es útil para una primera toma de contacto debido a su sencillez.

Más información y descarga de WITOOL:
http://witool.sourceforge.net

The Mole

Es una herramienta para la explotación automatizada de inyección SQL en páginas Web. Solo necesita una URL vulnerable y una cadena válida en el sitio y puede detectar la vulnerabilidad y explotarla, ya sea mediante el uso de la técnica de unión o una consulta basada en técnicas booleanas.

The Mole utiliza una interfaz basada en comandos, lo que permite al usuario indicar la acción que quiere realizar fácilmente. Con esta herramienta podemos auditar si un sitio web es vulnerable a un ataque de inyección SQL, de una forma rápida y totalmente automatizada.

Características principales de The Mole:
  • Soporte para MySQL, Postgres, SQL Server y Oracle.
  • Interfaz de línea de comandos.
  • Autocompletado para: comandos, argumentos de comandos y tablas y nombres de columnas en bases de datos.
  • Desarrollado en Python 3.
  • Explotación de inyección SQL automático utilizando la técnica de unión y técnicas booleanas.
  • Explotación de inyección SQL ciega automática.
  • Explota inyecciones SQL en: GET, parámetros de POST y COOKIES.
  • Soporte para filtros, con el fin de eludir ciertas reglas IPS / IDS utilizando filtros genéricos, y la posibilidad de crear otros nuevos con facilidad.
  • Explota inyecciones SQL que devuelven datos binarios.
  • Intérprete de comandos de gran alcance para simplificar su uso.

Más información y descarga de The Mole:
http://themole.sourceforge.net/

Tutorial de uso de The Mole:
http://www.aldeid.com/wiki/TheMole

Fuente:
http://www.gurudelainformatica.es/2016/02/herramientas-para-tecnicas.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.