el sqlget es una herramienta oculta de inyección de SQL desarrollada en Perl, te deja conseguir esquemas de las bases de datos y tabula filas. Usando un solo GET/POST puedes tener acceso reservado a la estructura de la base de datos y con un solo GET/POST puedes descargar cada fila de la tabla a a csv-como archivo.
Las bases de datos apoyaron:
- IBM DB2
- Servidor de Microsoft SQL
- Oracle
- Postgres
- Mysql
- IBM Informix
- Sybase
- Hsqldb
- Mime
- Penetrante
- Virtuoso
- SQLite
- Interbase/Yaffil/Firebird (Borland)
- H2
- Mckoi
- Ingres
- MonetDB
- MaxDB
- ThinkSQL
- SQLBase
Características de la evasión:
- Codificación de ancho total/de media anchura de Unicode
- Puente no estándar del CR de Apache
- puente del mod_security
- La petición mayúscula al azar transforma
- PHP Magicquotes: codificar cada secuencia usando la función del DB CHR o similar.
- Convertir las peticiones a los valores hexadecimales
- Evitar el no-espacio que substituye para/**/o (\ t) lengüeta
- Evitar no el || o + encadenamiento usando la función del concat del DB o similar.
- Usuario-agente al azar
- Proxy server al azar
- Al azar retrasa la petición
Características comunes:
- Lista negra de la transferencia directa del schemate de la base de datos
- Ayuda del arsenal de la galleta
- Ayuda del SSL
- Ayuda del proxy server
- La información de la base de datos descargó en formato del csv
Puedes encontrar una versión parcial de programa aquí el puentear del ISS Proventia IPS de IBM:
Puedes encontrar una versión parcial del programa aquí Bypass del ISS Proventia IPS de IBM:
ISR sqlget ISS Proventia BypassPuedes descargar el programa aqui:
ISR-sqlget v.1.0.0
leer mas:here.
No hay comentarios:
Publicar un comentario