Листа НАЈБОЉИХ СКЛи АЛАТА

СКЛ убризгавање које се такође назива и СКЛи је техника у којој се апликације вођене подацима могу нападати злонамерно убаченим СКЛ кодом. Нападачи могу приступити, изменити или уништити базе података користећи СКЛи. То је једна од најчешћих техника коришћених у веб хаковању.

Иако убризгавање СКЛ-а може бити опасно, извршавање различитих наредби уносом веб странице за извођење СКЛи-а може бити врло ужурбан посао. Од прикупљања података до развијања правог корисног терета може бити дуготрајан и понекад фрустрирајући посао. Овде алати ступају у игру. Доступни су бројни алати за тестирање и искоришћавање различитих врста СКЛ ињекција. Разговараћемо о некима од најбољих.

Хавиј:

Хавиј (што на перзијском значи шаргарепа) је алат ИТСецТеам-а, иранске заштитарске компаније. То је потпуно аутоматизовани СКЛи алат са омогућеним ГУИ-јем и подржава разне СКЛи технике. Развијен је да помогне испитивачима пенетрације у проналажењу рањивости на веб страницама. Кориснички је алат и укључује и напредне функције, па је добар и за почетнике и за професионалце. Хавиј такође има Про верзију. Узбудљива ствар код Хавија је 95% успешна стопа убризгавања рањивих циљева. Хавиј је направљен само за прозоре, али може се користити вино да би то функционисало на Линуку. Иако званична веб локација ИТСецТеам већ дуго не ради, Хавиј и Хавиј Про доступни су на многим веб локацијама и ГитХуб Репос.

ББКСКЛ:

ББКСКЛ познат као „Блинд СКЛ“ оквир за убризгавање помаже вам да решите проблеме када доступни алати за експлоатацију не раде. Написан на питхону, то је нека врста полуаутоматског алата који омогућава прилагођавање у одређеној мери за било који сложени налаз убризгавања СКЛ-а. ББКСКЛ поставља неколико питања у приступу на основу менија, а затим креира ињекцију / напад према одговору корисника. То је врло свестран алат са уграђеним корисничким интерфејсом који олакшава његову употребу. А употреба питхон гевент-а га чини прилично брзим. Пружа информације у вези са колачићима, датотекама, ХТТП ауторизацијом, прокијима, УРЛ-ом, ХТТП методом, заглављима, методама кодирања, понашањем преусмеравања итд. Захтјеви прије употребе укључују постављање параметара, опција, а затим конфигурирање напада према потреби. Конфигурација алата се може променити тако да користи фреквенцију или бинарну технику претраживања. Такође може утврдити да ли је СКЛ убризгавање функционисало само тражењем одређених вредности у ХТТП одговорима из апликације. База података приказује поруку о грешци која се жали на нетачну синтаксу СКЛ упита ако нападач успешно искористи СКЛ Ињецтион. Једина разлика између слепог СКЛ-а и нормалног убризгавања СКЛ-а је начин на који се подаци преузимају из базе података.

Инсталирајте ББКСКЛ:

$ апт-ГЕТ инсталирајте ббкскл

Левијатан:

Реч Левијатан односи се на морско створење, морског ђавола или морско чудовиште. Алат је назван тако због нападачке особине. Алат је први пут представљен на Блацк Хат УСА 2017 Арсенал. То је оквир који се састоји од многих алата отвореног кода, укључујући массцан, нцрацк, ДССС итд. За обављање различитих радњи, укључујући СКЛи, прилагођено искоришћавање итд. Алати се могу користити и у комбинацији. Обично се користи за задатке тестирања пенетрације, попут откривања машина и идентификовања рањивих, набрајања услуга које раде на тим уређајима и проналажења могућности напада симулацијом напада. Може да идентификује рањивости у Телнету, ССХ, РДП, МИСКЛ и ФТП. Левиатхан је врло стручан у провери СКЛ рањивости на УРЛ-овима. Основни циљ алата Левиатхан је да изведе масовна скенирања на многим системима одједном. Стручност провере СКЛ рањивости чини левијатан. Зависности потребне за употребу Левиатхан Фрамеворк-а су бс4, сходан, гоогле-АПИ-питхон-цлиент, лкмл, парамико, захтеви.

Инсталирајте Левиатхан:

$ Гит клон хттпс: // гитхуб.цом / левиатхан-фрамеворк / левиатхан.гит
$ Цд левијатана
$ Пип инсталл -р захтеви.ткт

ВхитеВидов:

Вхитевидов је често коришћени алат за скенирање рањивости у тестирању сигурности апликација и продирања. Већина људи заинтересованих за овај алат су испитивачи оловака и стручњаци за заштиту. Вхитевидов је такође отвореног кода и аутоматизовани је СКЛ скенер рањивости који може да користи листу датотека или Гоогле за стругање потенцијално рањивих веб локација. Главни циљ овог алата било је учење и информисање корисника како изгледа рањивост. ВхитеВидов захтева да раде неке зависности, као што су: механизовати, нокогири, клијент за одмор, вебмоцк, рспец и вцр. Развијен је у рубин програмском језику. Хиљаде пажљиво истражених упита користе се за стругање Гоогле-а за проналажење рањивости на различитим веб локацијама. Када покренете Вхитевидов, она ће одмах почети да проверава да ли има осетљивих локација. Они се касније могу ручно искористити.

Инсталирајте ВхитеВидов:

$ Гит клон хттпс: // гитхуб.цом / ВхитевидовСцаннер / вхитевидов.гит
$ Цд белка
$ Бундле инсталација

јСКЛ убризгавање:

јСКЛ је алат за аутоматско СКЛ убризгавање заснован на јави, па отуда и назив јСКЛ.
То је ФОСС и компатибилан је са више платформи. Саставља се помоћу библиотека попут Хибернате, Споцк и Спринг. јСКЛ Ињецтион подржава 23 различите базе података, укључујући Аццесс, МиСКЛ, СКЛ Сервер, Орацле, ПостгреСКЛ, СКЛите, Терадата, Фиребирд, Ингрис и многе друге. јСКЛ Ињецтион је постављен на ГитХуб и користи платформу Травис ЦИ за континуирану интеграцију. Проверава вишеструке стратегије убризгавања: нормално, грешка, слепо и време. Има и друге функције као што су тражење административних страница, груба сила хеширања лозинке, креирање и визуализација веб љуске и СКЛ љуске итд. јСКЛ Ињецтион такође може читати или писати датотеке.
јСКЛ убризгавање је доступно у оперативним системима попут Кали, Паррот ОС, Пентест Бок, БлацкАрцх Линук и другим дистрибуцијама за тестирање оловке.

Инсталирајте јСКЛ:

$ апт-ГЕТ инсталирајте јскл

СКЛмап

СКЛмап је аутоматизовани алат написан на питхону који аутоматски проверава да ли постоји СКЛ рањивост, користи их и преузима сервере база података. То је бесплатан софтвер отвореног кода и вероватно је најчешће коришћени алат за тестирање оловке СКЛи рањивих циљева. То је бесплатан софтвер отвореног кода са невероватно моћним механизмом за откривање. Креирао га је Даниеле Беллуцци 2006. године, касније га је развио и промовисао Бернардо Дамеле. Најзначајнији корак у развоју склмап-а био је Блацк Хат Еуропе 2009, који је у средишту пажње био уз сву пажњу медија. СКЛмап подржава већину врста база података, технике убризгавања СКЛ и пробијање лозинки на основу напада заснованих на речнику. Такође се може користити за уређивање / преузимање / отпремање датотека у базу података. Команда Метерпретера (Метасплоит) гетсистем користи се за Привилеге Есцалатион. За ИЦМП тунелирање додата је библиотека за импактирање. СКЛмап омогућава преузимање резултата помоћу ДНС рекурзивне резолуције много брже од временски заснованих или логичких метода. СКЛ упити се користе за покретање потребних ДНС захтева. СКЛмап подржава питхон 2.6,2.7 и питхон 3 па надаље.
Према Ед Скоудису, комплетан СКЛмап напад зависи од модела у 5 корака:

1. Извиђање
2. Скенирање
3. Искористити
4. Задржавање приступа
5. Покривање трагова

Инсталирајте СКЛмап:

$ Апт-ГЕТ инсталирајте склмап

Или

$ Гит клон хттпс: // гитхуб.цом / склмаппројецт / склмап.гит
$ Цд склмап
$ Питхон склмап.пи

Иако је ова листа компактна, састоји се од најпопуларнијих алата који се користе за откривање и искоришћавање СКЛи-а. СКЛ Ињецтион је врло честа рањивост и долази у разним облицима, тако да су алати заиста корисни за откривање ових рањивости и помажу великом броју тестера пенетрације и киддикаторима скрипта да посао ураде на заиста лак начин.

Срећно убризгавање!

Изјава о одрицању одговорности: Горе написани чланак је само у образовне сврхе. Корисник је одговоран да не користи горе дате алате на циљу без дозволе.