sqlmap is een open source penetratie test tool dat het proces automatiseert van het detecteren en exploiteren van SQL injectie fouten en het overnemen van database servers. Het wordt geleverd met een krachtige detectie-engine, veel nichefuncties voor de ultieme penetratietester en een breed scala aan schakelaars, variërend van database fingerprinting, over het ophalen van gegevens uit de database, tot toegang tot het onderliggende bestandssysteem en het uitvoeren van commando’s op het besturingssysteem via out-of-band-verbindingen.

Features

  • Volledige ondersteuning voor MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, MariaDB, MemSQL, TiDB, CockroachDB, HSQLDB, H2, MonetDB, Apache Derby, Amazon Redshift, Vertica, Mckoi, Presto, Altibase, MimerSQL, CrateDB, Greenplum, Drizzle, Apache Ignite, Cubrid, InterSystems Cache, IRIS, eXtremeDB, FrontBase, Raima Database Manager, YugabyteDB en Virtuoso databasemanagementsystemen.
  • Volledige ondersteuning voor zes SQL injectie technieken: boolean-based blind, time-based blind, error-based, UNION query-based, stacked queries en out-of-band.
  • Support om direct verbinding te maken met de database zonder via een SQL injectie te passeren, door het verstrekken van DBMS referenties, IP-adres, poort en database naam.
  • Support voor het opsommen van gebruikers, wachtwoord hashes, privileges, rollen, databases, tabellen en kolommen.
  • Automatische herkenning van wachtwoord hash formaten en ondersteuning voor het kraken van ze met behulp van een woordenboek-gebaseerde aanval.
  • Support voor het dumpen van database tabellen geheel, een reeks van inzendingen of specifieke kolommen als per gebruiker keuze. De gebruiker kan ook kiezen om alleen een reeks tekens van elke kolom entry dump.
  • Support om te zoeken naar specifieke database namen, specifieke tabellen over alle databases of specifieke kolommen over alle databases ’tabellen. Dit is nuttig, bijvoorbeeld, om tabellen te identificeren die aangepaste applicatie geloofsbrieven bevatten waar relevante kolommen namen string bevatten zoals naam en pass.
  • Support voor het downloaden en uploaden van elk bestand van de database server onderliggende bestandssysteem wanneer de database software MySQL, PostgreSQL of Microsoft SQL Server is.
  • Support om willekeurige commando’s uit te voeren en hun standaard uitvoer op te halen op de database server onderliggend besturingssysteem wanneer de database software MySQL, PostgreSQL of Microsoft SQL Server is.
  • Support om een out-of-band stateful TCP verbinding op te zetten tussen de aanvaller machine en de database server onderliggend besturingssysteem. Dit kanaal kan een interactieve commando prompt zijn, een Meterpreter sessie of een grafische gebruikersinterface (VNC) sessie naar keuze van de gebruiker.
  • Support voor database proces ‘gebruiker privilege escalatie via Metasploit’s Meterpreter getsystem commando.

Refereer naar de wiki voor een uitputtende opsplitsing van de features.

Download

U kunt de nieuwste zipball of tarball downloaden.

U kunt sqlmap bij voorkeur downloaden door de Git repository te clonen:

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

Documentatie

  • sqlmap Gebruikershandleiding.
  • sqlmap Geschiedenis.
  • sqlmap Veel gestelde vragen (FAQ).
  • Materiaal rond sqlmap gepresenteerd op conferenties.

Demo

Bekijk hier meer demo’s.

Bijdragen

Alle bijdragen aan code worden zeer op prijs gesteld. Als eerste, clone de Git repository, lees de handleiding aandachtig, ga zelf door de code en stuur ons een email als je het moeilijk vindt om de structuur en betekenis te begrijpen.

Bug reports zijn welkom! Gelieve alle bugs op de issue tracker te melden. Onze voorkeursmethode voor het indienen van patches is via een Git pull request.

Elke patch moet één logische verandering aanbrengen. Volg alstublieft de bestaande stilistische conventies: wrap code naar 76 kolommen wanneer mogelijk. Vermijd tabs, gebruik in plaats daarvan vier spaties. Voordat u tijd steekt in een niet-triviale patch, is het de moeite waard om deze privé per e-mail te bespreken.

Veel mensen hebben op verschillende manieren bijgedragen aan de sqlmap ontwikkeling. U kunt de volgende zijn!

Doneer

sqlmap is het resultaat van vele uren gepassioneerd werk van een klein team van computer beveiligings enthousiastelingen. Als u ons werk waardeert en u wilt zien dat sqlmap verder ontwikkeld wordt, overweeg dan alstublieft een donatie aan onze inspanningen via PayPal naar [email protected] of door te klikken op de knop hieronder.

We accepteren ook Ƀitcoins naar 1AUrrKYsamBEThdruYTQmUfMfLF7aaxU6x.

Licentie

Copyright © 2006-2021 door Bernardo Damele Assumpcao Guimaraes en Miroslav Stampar. Alle rechten voorbehouden.

Dit programma is vrije software; u mag het opnieuw distribueren en/of wijzigen onder de voorwaarden van de GNU General Public License zoals gepubliceerd door de Free Software Foundation; Versie 2 (of later) met de verduidelijkingen en uitzonderingen beschreven in het licentiebestand. Dit garandeert uw recht om deze software te gebruiken, te wijzigen en te herdistribueren onder bepaalde voorwaarden. Als u sqlmap technologie wilt inbedden in proprietaire software, verkopen wij alternatieve licenties (neem contact op met [email protected]).

Disclaimer

Dit programma wordt verspreid in de hoop dat het nuttig zal zijn, maar ZONDER ENIGE GARANTIE; zelfs zonder de impliciete garantie van VERKOOPBAARHEID of GESCHIKTHEID VOOR EEN BEPAALD DOEL. Zie de GNU General Public License v2.0 voor meer details op http://www.gnu.org/licenses/gpl-2.0.html.

Gebruik van sqlmap voor het aanvallen van doelen zonder voorafgaande wederzijdse toestemming is illegaal. Het is de verantwoordelijkheid van de eindgebruiker om alle van toepassing zijnde lokale, staats en federale wetten na te leven. De ontwikkelaars aanvaarden geen aansprakelijkheid en zijn niet verantwoordelijk voor misbruik of schade veroorzaakt door dit programma.

Ontwikkelaars

  • Bernardo Damele A. G. (@bdamele)
  • Miroslav Stampar (@stamparm)

U kunt contact opnemen met het ontwikkelingsteam door te schrijven naar [email protected].

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.