Az sqlmap egy nyílt forráskódú penetrációs tesztelő eszköz, amely automatizálja az SQL injekciós hibák felderítését és kihasználását, valamint az adatbázis-szerverek átvételét. Rendelkezik egy nagy teljesítményű detektáló motorral, számos hiánypótló funkcióval a végső penetrációs tesztelő számára, és széles körű kapcsolókkal, amelyek az adatbázis-ujjlenyomattól kezdve az adatbázisból történő adatlehíváson át a mögöttes fájlrendszerhez való hozzáférésig és az operációs rendszerben sávon kívüli kapcsolatokon keresztül végrehajtott parancsokig terjednek.

Tulajdonságok

  • Teljes támogatás MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, MariaDB, MemSQL, TiDB, CockroachDB, HSQLDB, H2, MonetDB számára, Apache Derby, Amazon Redshift, Vertica, Mckoi, Presto, Altibase, MimerSQL, CrateDB, Greenplum, Drizzle, Apache Ignite, Cubrid, InterSystems Cache, IRIS, eXtremeDB, FrontBase, Raima Database Manager, YugabyteDB és Virtuoso adatbázis-kezelő rendszerek.
  • Teljes támogatás hat SQL injektálási technikához: Boolean-alapú vak, időalapú vak, hiba alapú, UNION lekérdezés alapú, egymásra épülő lekérdezések és out-of-band.
  • Támogatás az adatbázishoz való közvetlen csatlakozáshoz anélkül, hogy SQL injektáláson keresztül haladna, a DBMS hitelesítő adatok, IP-cím, port és az adatbázis neve megadásával.
  • Támogatás a felhasználók, jelszóhash-ok, jogosultságok, szerepek, adatbázisok, táblák és oszlopok felsorolásához.
  • A jelszóhash-formátumok automatikus felismerése és a feltörésük támogatása szótáralapú támadással.
  • Támogatás az adatbázis táblák teljes, egy sor bejegyzés vagy meghatározott oszlopok dumpolásához a felhasználó választása szerint. A felhasználó azt is kiválaszthatja, hogy az egyes oszlopok bejegyzéséből csak egy karaktertartományt dobjon ki.
  • Támogatás bizonyos adatbázisnevek, bizonyos táblák keresésére az összes adatbázisban vagy bizonyos oszlopok keresésére az összes adatbázis tábláiban. Ez hasznos például az egyéni alkalmazási hitelesítő adatokat tartalmazó táblák azonosításához, ahol a vonatkozó oszlopok nevei olyan karakterláncokat tartalmaznak, mint a name és pass.
  • Támogatás bármely fájl letöltéséhez és feltöltéséhez az adatbázis-kiszolgáló mögöttes fájlrendszeréből, ha az adatbázis-szoftver MySQL, PostgreSQL vagy Microsoft SQL Server.
  • Támogatja tetszőleges parancsok futtatását és azok szabványos kimenetének lekérdezését az adatbázis-kiszolgáló mögöttes operációs rendszerén, ha az adatbázis-szoftver MySQL, PostgreSQL vagy Microsoft SQL Server.
  • Támogatja a támadó gép és az adatbázis-kiszolgáló mögöttes operációs rendszere közötti sávon kívüli, állapotfüggő TCP-kapcsolat létrehozását. Ez a csatorna lehet egy interaktív parancssor, egy Meterpreter munkamenet vagy egy grafikus felhasználói felület (VNC) munkamenet a felhasználó választása szerint.
  • Támogatás az adatbázis-folyamat felhasználói jogosultságainak kiterjesztéséhez a Metasploit Meterpreter getsystem parancsán keresztül.

A funkciók kimerítő bontása a wikiben található.

Download

A legújabb zipball vagy tarball letölthető.

Az sqlmapot a Git tároló klónozásával töltheti le:

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

Dokumentáció

  • sqlmap felhasználói kézikönyv.
  • sqlmap története.
  • sqlmap Gyakran ismételt kérdések (FAQ).
  • Konferenciákon bemutatott anyagok az sqlmap körül.

Demo

Nézzen meg több demót itt.

Contribute

Minden kód-hozzájárulást nagyra értékelünk. Először is, klónozd a Git tárolót, olvasd el figyelmesen a felhasználói kézikönyvet, nézd át magad a kódot, és írj nekünk egy e-mailt, ha nehezen érted meg a szerkezetét és jelentését.

Hibajelentéseket szívesen fogadunk! Kérjük, minden hibát jelentsen a hibakövetőn. A javítások beküldésének preferált módszere a Git pull request.

Minden javításnak egy logikai változtatást kell végrehajtania. Kérjük, kövesse a meglévő stilisztikai konvenciókat: a kódot lehetőség szerint 76 oszlopba csomagolja. Kerülje a tabulátorokat, helyette használjon négy szóköz karaktert. Mielőtt időt szánsz egy nem triviális javításra, érdemes privátban, e-mailben megbeszélni.

Sok ember különböző módon járult hozzá az sqlmap fejlesztéséhez. Te lehetsz a következő!

Adományozni

Az sqlmap egy számítógépes biztonságért rajongó kis csapat számtalan óra szenvedélyes munkájának eredménye. Ha értékeled a munkánkat, és szeretnéd, hogy az sqlmap továbbra is fejlődjön, kérjük, fontold meg, hogy adományozol nekünk a PayPal-on keresztül a [email protected] címre vagy az alábbi gombra kattintva.

Az Ƀitcoint is elfogadjuk a 1AUrrKYsamBEThdruYTQmUfMfLF7aaxU6x címre.

Licenc

Copyright © 2006-2021 by Bernardo Damele Assumpcao Guimaraes and Miroslav Stampar. Minden jog fenntartva.

Ez a program szabad szoftver; a Free Software Foundation által kiadott GNU General Public License 2. (vagy újabb) verziója szerint terjeszthető és/vagy módosítható a licencfájlban leírt pontosításokkal és kivételekkel. Ez garantálja a jogot a szoftver használatára, módosítására és újraelosztására bizonyos feltételek mellett. Ha az sqlmap technológiát saját fejlesztésű szoftverekbe kívánja beágyazni, alternatív licenceket árusítunk (vegye fel a kapcsolatot a [email protected] címen).

Disclaimer

Ezt a programot abban a reményben terjesztjük, hogy hasznos lesz, de MINDEN GARANCIA NÉLKÜL; még a MERCHANTABILITY vagy a FITNESS FOR A PARTICULAR PURPURPOSE hallgatólagos garanciája nélkül. További részletekért lásd a GNU General Public License v2.0-t a http://www.gnu.org/licenses/gpl-2.0.html címen.

A sqlmap használata célpontok támadására előzetes kölcsönös beleegyezés nélkül illegális. A végfelhasználó felelőssége a vonatkozó helyi, állami és szövetségi törvények betartása. A fejlesztők nem vállalnak felelősséget és nem felelősek a program által okozott visszaélésekért vagy károkért.

Developers

  • Bernardo Damele A. G. (@bdamele)
  • Miroslav Stampar (@stamparm)

A fejlesztői csapattal a [email protected].

címen léphet kapcsolatba.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.