sqlmap は、SQLインジェクションの欠陥を検出して悪用し、データベースサーバーを乗っ取るプロセスを自動化するオープンソースの侵入テスト・ツールです。 これは、強力な検出エンジン、究極の侵入テスト担当者のための多くのニッチな機能、およびデータベースのフィンガープリントからデータベースからのデータ取得、基盤となるファイルシステムへのアクセス、帯域外接続によるオペレーティングシステムでのコマンドの実行まで、幅広いスイッチを搭載しています。

Features

  • MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, MariaDB, MemSQL, TiDB, CockroachDB, HSQLDB, H2, MonetDB の完全なサポート。 Apache Derby, Amazon Redshift, Vertica, Mckoi, Presto, Altibase, MimerSQL, CrateDB, Greenplum, Drizzle, Apache Ignite, Cubrid, InterSystems Cache, IRIS, eXtremeDB, FrontBase, Raima Database Manager, YugabyteDB and Virtuoso データベースマネジメントシステム.
  • 6 つの SQL インジェクション技法を完全にサポート: ブーリアンベースのブラインド、タイムベースのブラインド、エラーベース、UNION クエリーベース、スタッククエリー、アウトオブバンド。
  • DBMS 認証情報、IP アドレス、ポート、データベース名を提供することにより、SQL インジェクションを経由せずにデータベースに直接接続する機能をサポートします。
  • ユーザー、パスワード ハッシュ、特権、ロール、データベース、テーブルおよび列の列挙をサポート。
  • パスワード ハッシュ形式の自動認識および辞書ベースの攻撃によるクラックをサポート。 ユーザーは、各カラムのエントリから文字の範囲のみをダンプすることもできます。
  • 特定のデータベース名、すべてのデータベースにわたる特定のテーブル、またはすべてのデータベースのテーブルにわたる特定のカラムを検索する機能をサポート。 これは、たとえば、関連する列の名前に name や pass などの文字列が含まれるカスタム アプリケーション認証情報を含むテーブルを識別するのに便利です。
  • データベース ソフトウェアが MySQL、PostgreSQL または Microsoft SQL Server の場合、データベース サーバーの基本ファイル システムから任意のファイルのダウンロードおよびアップロードをサポート。
  • データベースソフトウェアが MySQL、PostgreSQL または Microsoft SQL Server の場合、データベースサーバーの基礎となるオペレーティングシステム上で任意のコマンドの実行とその標準出力の取得をサポートします。
  • 攻撃者のマシンとデータベースサーバーの基礎となるオペレーティングシステム間で帯域外ステートフル TCP 接続を確立する機能をサポートします。 このチャネルは、ユーザーの選択により、対話型コマンド プロンプト、Meterpreter セッション、またはグラフィカル ユーザー インターフェイス (VNC) セッションとなります。
  • Metasploit の Meterpreter getsystem コマンドによるデータベース プロセスのユーザー権限昇格をサポート。

    ダウンロード

    最新の zip ボールまたは tar ボールをダウンロードすることができます。

    Preferably, you can download sqlmap by clone the Git repository:

    git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

    Documentation

    • sqlmap User’s manual.
    • sqlmap History.
    • sqlmap Frequently Asked Questions (FAQ). sqlmap ユーザーマニュアル.FAQ (よくある質問).
    • カンファレンスで発表されたsqlmapに関する資料.

    Demo

    Watch more demos here.

    Contribute

    All code contributions are greatly appreciated.All code contributions. まず最初に、Git リポジトリをクローンし、ユーザー マニュアルをよく読み、自分でコードに目を通し、その構造や意味を理解するのに苦労している場合は、私たちにメールを送ってください。 すべてのバグを課題追跡システム (issue tracker) で報告してください。 私たちが推奨するパッチの提出方法は、Git プルリクエストです。

    各パッチは、1 つの論理的な変更を加えるべきです。 可能であれば、コードを 76 カラムに折り返すなど、既存の文体規則に従ってください。 タブを避け、代わりに 4 つのスペース文字を使用してください。 自明でないパッチに時間を費やす前に、電子メールで個人的に議論する価値があります。

    多くの人々がsqlmapの開発に様々な方法で貢献してきました。

    寄付

    sqlmapは、コンピュータセキュリティの愛好家の小さなチームによる、何時間にもわたる情熱的な仕事の結果です。 もしあなたが私たちの仕事に感謝し、sqlmapが開発され続けるのを見たいなら、PayPalで[email protected]まで、または下のボタンをクリックして私たちの努力に寄付することを検討してください。

    私たちは1AUrrKYsamBEThdruYTQmUfMfLF7aaxU6xまでɃitcoinも受け入れます。 このプログラムはフリーソフトウェアです。あなたは、Free Software Foundation; Version 2 (またはそれ以降) によって発行された GNU General Public License の条項に従って、ライセンス ファイルに記述された説明と例外を除き、再配布および/または変更することができます。 本ソフトウェアを使用、変更、再配布する権利は、一定の条件下で保証されています。 sqlmapの技術をプロプライエタリなソフトウェアに組み込みたい場合は、別のライセンスを販売しています([email protected])。

    免責事項

    このプログラムは有用であることを期待して配布しますが、市場性または特定目的への適合性の黙示保証もなく、一切の保証を行いません。 詳細はhttp://www.gnu.org/licenses/gpl-2.0.html.

    .GNU General Public License v2.0を参照してください。

    事前の同意なく、ターゲットを攻撃するためにsqlmapを使用することは違法です。 適用されるすべての地方法、州法、連邦法に従うことはエンドユーザーの責任です。 開発者はこのプログラムの誤用や損害に対して一切の責任を負いません。

    Developers

    • Bernardo Damele A. G. (@bdamele)
    • Miroslav Stampar (@stamparm)

    開発チームへの連絡先は [email protected].

    までお願いします。

コメントを残す

メールアドレスが公開されることはありません。