SQL注入工具主要是针对Web服务器后台数据库的注入,其主要目的是获取数据库中的数据。以前常用的SQL注入工具有啊D注入工具及Domain(明小子注入工具),现在常用的SQL注入工具有HackBar、SQLMap、Pangolin、Havij、Safe3 SQL injector及超级SQL注入工具等。

1、HackBar

HackBar是专门用来进行手动安全测试的浏览器插件(例如手动测试SQL注入漏洞),如图1所示。

图1  HackBar

下载HackBar插件链接:https://github.com/ox01024/hackbar_crack

2、SQLMap

sqlmap是一个SQL注入的工具,类似于啊D注入工具及Pangolin注入工具。在ASP网站盛行的年代,一般是用啊D注入工具实现SQL注入;在PHP网站盛行的年代,一般是用Pangolin注入工具实现SQL注入;在JSP盛行的年代,sqlmap流行起来,直接统一了SQL注入工具。sqlmap可以做其他所有SQL注入工具能做的事,甚至做得更好。这便是sqlmap流行起来的原因。啊D注入工具及Pangolin注入工具都是适合Windows系统的SQL注入工具,而sqlmap不仅支持Windows系统,还支持Linux系统。sqlmap不仅有Windows的窗口式注入,也有cmd(或者shell)的命令式注入。sqlmap还支持自写扩展(例如自写SQL注入payload等)。sqlmap如图2所示。

图2  sqlmap

3、Pangolin

Pangolin是一个在PHP盛行的年代十分流行的SQL注入工具。相对于啊D注入工具而言,Pangolin注入工具对PHP的支持非常好。Pangolin的中文意思是“穿山甲”,穿山甲为何物?穿山甲是一种能够穿山打洞的生物!SQL注入的本质就是“穿山打洞”!Pangolin如图3所示。

图3  Pangolin

4、Havij

Havij是一个SQL注入工具,与Pangolin类似。Havij与其他的SQL注入工具的差异在于其强大的SQL注入方式。使用Havij攻击脆弱应用的成功率不低于百分之九十。Havij的图形界面非常美观,如图4所示。

图4  Havij

5、Safe3 SQL injector

Safe3 SQL injector也是一个SQL注入工具,它与Pangolin类似。Safe3 SQL injector是最强大也是最容易使用的渗透测试工具之一,它可以自动检测与利用SQL注入漏洞并接管数据库服务器,如图5所示。

图5  Safe3 SQL injector

6、超级SQL注入工具

超级SQL注入工具是一款基于HTTP自组包的SQL注入工具,它支持出现在HTTP任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。超级SQL注入工具目前支持bool型盲注、错误显示注入及union注入,支持Access、MySQL、Mssql及Oracle等数据库的注入,适合在渗透测试实战时使用。超级SQL注入工具如图6所示。

图6  超级SQL注入工具

7、啊D注入工具

啊D注入工具是一款针对ASP及Access较好的SQL注入工具。在过去黑客工具稀有的年代,啊D注入工具有着十分重要的地位,其流行程度相当于现在的sqlmap,啊D注入工具如图7所示。

图7  啊D注入工具

文章来自:计算机与网络安全

ID:Computer-network

payload sql注入_Web安全:SQL注入工具相关推荐

  1. html sql注入_Web安全-SQL注入(sqli-lab)

    这篇文章为一个导航文章,用于记录关于SQL注入的学习过程.学习SQL注入,最好的实验环境就是sqli-lab,因此也是以这个环境来进行学习. 一.sqli-lab介绍和安装 1.sqli-lab Sq ...

  2. 【SQL注入-15】自动化注入案例—以sqli-labs-less9为例(利用sqlmap工具)

    目录 1 前言 2 自动化注入案例-以sqli-labs-less9为例 2.1 实验平台 2.2 注入前准备 2.3 判断注入点及注入类型 2.3.1 自动判断注入点及注入类型 2.3.2 手动判断 ...

  3. 如何使用加密的Payload来识别并利用SQL注入漏洞

    写在前面的话 密码学具有诸多优点,信息的保密性同样离不开密码学,但是从历史经验来看,在保护应用和数据安全方面我们绝对不能过分依赖于密码学.在这篇文章中,安全教育培训专家SunilYadav将会讨论一个 ...

  4. /plus/recommend.php sql注入漏洞,DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 -

    DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 目前官方最新版已修复该漏洞 V5.7.37 GBK正式版20140228常规更新补丁 http://www.dedecms.com/pl/ ht ...

  5. 【SQL注入15】自动化注入技术(基于sqlmap工具和sqli-labs-less1靶场平台)

    目录 1 前言 2 实验介绍 2.1 实验平台 2.2 实验目标 3 实验过程 3.1 前戏 3.2 判断注入点及注入类型 3.3 爆库名 3.4 爆表名 3.5 爆字段名 3.6 爆字段内容 3.7 ...

  6. SQL注入之什么是加密注入|二次漏洞注入|DNSlog注入

    加密注入.二次漏洞注入.DNSlog注入 加密注入: 什么是加密注入??下面将由一个例子阐述: 以sqlilabs-less-21为例 1.在登录界面输入账户密码提交抓包 2.在抓到这条数据,将uma ...

  7. SQL注入-盲注-时间注入-报错注入-布尔盲注-DNSlog注入-宽字节注入-WAF绕过-SqlMap使用

    Sqli-labs的安装 1.安装WAMP http://www.wampserver.com/ WAMP是php + mysql + Apache环境集成工具 2.下载Sqli-labs https ...

  8. Sql注入-1:sql注入基本原理

    目录 前言 一.SQL注入介绍 二.学习环境介绍 三.SQL注入原理 总结 前言 在网络安全领域中,sql注入是一个无法被忽视的关键点,曾经多少的网站都因此被攻破,直到现在很多网站依旧存在很多sql注 ...

  9. 《小迪安全》第14天 SQL注入:注入类型及提交注入

    目录 注入前需要明确 数据库类型 请求方法 数据类型 演示案例 参数字符型注入测试:sqlilabs less 5 6 POST数据提交注入测试:sqlilabs less 11 COOKIE数据提交 ...

  10. sql盲注特点_SQL注入介绍及分类解读

    SQL全称是Structured Query Language,是一种结构化的查询语言,用于与数据库进行交互并能够被数据库解析.SQL注入攻击是一种常见的注入攻击类型.攻击方式在用户与程序进行交互时发 ...

最新文章

  1. java.net.BindException: Address already in use: 解决方法
  2. 搞笑视频分析---2、爱做饭的芋头:手搓冰粉
  3. Java 文件字符输入流FileReader读取txt文件乱码问题
  4. Handler 机制分析
  5. Python for循环的用法,怎么前面还有一个变量或函数?
  6. python表格控件_tkinter 控件 Treeview 表格数据
  7. Redis 的字符串是这样实现的…
  8. Linux安装Prometheus
  9. 流浪宠物管理系统-基于SSM
  10. java 围棋_围棋冠军都输了?用Java编写的智能围棋战力惊人?
  11. 【手写源码-设计模式7】-桥接模式-基于苹果小米手机刷机场景
  12. Ribbon负载均衡配置
  13. 使用kind安装单机版k8s学习环境
  14. 【车间调度】基于matlab改进的帝国企鹅算法求解车间调度问题【含Matlab源码 2041期】
  15. [云原生专题-24]:K8S - Kubernetes(K8S)Master集群构建与安装过程详细解读 - 初始控制节点的安装
  16. 【微信公众号发红包转账】微信公众号上手机网页接收请求,通过公众号给用户发红包 开发流程...
  17. Java设计模式之——模板方法
  18. 经典同步时序逻辑电路分析汇总(第六道)(同步四进制可逆加减法计数器)
  19. linux 程序结构,Objective-C 基本的程序结构
  20. 【期末复习】计算机组成原理

热门文章

  1. CDH大数据平台搭建
  2. “华为杯”第十七届中国研究生数学建模竞赛2020 —— B题
  3. ACM算法-逃离机场
  4. 抖音矩阵系统,抖音矩阵系统源码,抖音SEO源码。
  5. Docker下载Nginx镜像并运行Nginx容器
  6. 阻抗计算公式、polar si9000(教程)
  7. 大漠插件:找图位置偏移(超出界面边界)
  8. 京东支付首席架构师“泄密”京东支付系统架构
  9. 基于单片机的公交车系统
  10. CSV 文件中的字段中的开头和结尾上,可能会存在空格或制表符,但是该如何处理呢?