BSQLinjector - 盲SQL注入开发工具

BSQLinjector是一个用ruby编写的盲注SQL开发工具。

它使用盲方法从SQL数据库中检索数据。我建议使用“--test”开关清楚地看到配置的有效载荷在发送到应用程序之前的样子。

选项：

  - 文件必须 - 包含有效HTTP请求和SQL注入的文件 点（SQLINJECT）

（--file = / TMP / req.txt）  - 模式强制 - 模式查询何时查询为真。

（--pattern = truestatement）  - 预留强制 - 主要有效负载。

（--prepend =“abcd'and'a '=' B ' 工会 选择 ' truestatement”   从 表，其中 COL％3d'value' 和 SUBSTR（密码”  --append如何结束我们的有效载荷。

例如注释掉SQL的其余部分 声明。（--append ='＃）  - 字符放在字符周围。

这个字符不被使用  以十六进制模式。

（--schar = “”“）  --2ndfile包含第二顺序使用的有效HTTP请求的文件开发。

（--2ndfile = / TMP / 2ndreq.txt）  - 模式使用盲模式（在 -  b之间（产生较少的请求）， moreless  -  a（通过使用“<”生成较少的请求， “>”，“=”字符），像 -  l（完全暴力）， 等于 -  e（完全力））。

（--mode = 1）  --hex使用十六进制来比较而不是字符。 

  -  case大小写敏感。  --ssl使用SSL。  - 代理使用。

（--proxy = 127.0.0.1：8080）  - 测试启用测试模式。不发送请求，只显示完整的有效载荷。  --special在枚举中包含所有特殊字符。  

- 开始从指定的字符开始枚举。

（--start = 10）  --max枚举的最大字符数。

（--max = 10）  - 超时等待响应。

（--timeout = 20）  --only-final停止显示每个枚举的信件。

  --comma编码逗号。 

 --bracket将括号添加到子字符串函数的末尾。

--bracket = “））” 

 --hexspace使用空格而不是括号来分割十六进制值。 

 --verbose显示详细消息。

用法示例：

ruby ./BSQLinjector.rb --pattern = truestatement --file = / tmp / req.txt --schar =“'” --prepend =“abcd'and'a '=' B ' union select ' truestatement”
from table where col％3d'value' and substr（password，“--append =”'＃“--ssl

下载地址

https://github.com/enjoiz/BSQLinjector/archive/master.zip

仅供于学习研究使用，不得非法使用，如非法操作，责任自行承担

文章出处：http://www.effecthacking.com，由华盟网翻译排版，转载请注明华盟网

你可能喜欢

jSQL注入 - 一个跨平台的SQL注入工具

个人收集整理sql注入关键字

SQLite-lab：基于SQLite设计的SQL注入实践靶场