Tools para Inyección SQL

  • 0 Respuestas
  • 4391 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Mortal_Poison

  • *
  • Ex-Staff
  • *****
  • Mensajes: 203
  • Actividad:
    3.33%
  • Country: co
  • Reputación 16
  • Become the change you seek in the world. -Gandhi.
  • Twitter: https://www.twitter.com/Mortal_Poison_
    • Ver Perfil
    • XECURE-LABS

Tools para Inyección SQL

  • en: Octubre 24, 2017, 07:34:20 pm
Hola a [email protected],

Sé que existen diversas herramientas para explotar las inyecciones SQL y bueno, las de apilado de otra forma. Les voy a dejar unas herramientas que en determinado momento usé(hace años) y que conozco de su uso, así que comencemos.

A continuación, el listado de herramientas que quizá les servirá para que vean algunas de sus diferencias(funcionalidad por ejemplo):

Safe3 SQL Injector

Nos permite realizar inyecciones a SGDB como por ejemplo: MySQL, PostgreSQL, MSSQL, Oracle, ACCESS, Sybase, Sqlite y DB2.


Ilustración 1. Interfaz gráfica de Safe3 SQL Injector.

Cuando me dí cuenta de ésta herramienta, me fijé en que era realmente potente y además, muy fácil de usar. Como mencioné anteriormente, está enfocada a usos para explotar dichos SGDB pero también tiene otra ventaja y es, permite la ejecución de código arbitrario. Sin duda, es una herramienta que deberías probar, la puedes descargar desde el siguiente enlace:

You are not allowed to view links. Register or Login


SQL Power Injector

Nos permite realizar inyecciones a SGDB como por ejemplo: MySQL, Microsoft SQL Server, Oracle, Sybase/Adaptive Server y DB2.


Ilustración 2. Interfaz gráfica de SQL Power Injector.

Una herramienta que nos permite ver hasta distintos parámetros como respuesta. La podemos descargar e inspeccionar más sus funcionalidades con detalle en:

You are not allowed to view links. Register or Login

BSQL Hacker

Nos permite realizar inyecciones a SGDB como por ejemplo: MySQL, MSSQL Y Oracle.


Ilustración 3. Interfaz gráfica de BSQL Hacker.

Desarrollado por Portcullis Labs, es una herramienta con el propósito de Inyección sql, soportando incluso la inyección sql a ciegas. Nos muestra tres textarea's donde nos da a conocer las respuestas verdaderas, falsas y con error. Puedes descargar esta herramienta desde el siguiente enlace:

You are not allowed to view links. Register or Login


The Mole


Ilustración 4. Herramienta de The Mole.


Una herramienta de fuente abierta, permitiéndonos eludir sistemas de detección de intrusos y de prevención de intrusos( IDS / IPS). Se puede indicar el punto de inyección y además, los SGDB de alcance de esta herramienta son: Mysql, Postgresql y Oracle. La puedes descargar del siguiente enlace:

You are not allowed to view links. Register or Login


Sqlmap


Ilustración 5. Herramienta de Sqlmap.

Una herramienta de las más poderosas y de las mejores hasta el momento. Nos da la posibilidad de realizar muchísimas funciones que no mencionaré aquí pero que pueden buscar en el foro, hay mucha información. Los SGDB que están disponibles para la explotación se segmentan de la siguiente manera:

Soporte completo: MySQL, Oracle, PostgreSQL y Microsoft SQL Server.
Soporte parcial: Microsoft Access, DB2, Informix, Sybase e Interbase.

Podemos descargar esta herramienta desde el siguiente enlace:

You are not allowed to view links. Register or Login

Sqlninja

Al SGDB que permite realizar inyección, es a las aplicaciones que usen Microsoft SQL Server.


Ilustración 6. Herramienta de Sqlninja.

Está en Perl y el objetivo principal es proporcionar un acceso remoto en el servidor de base de datos vulnerable, a pesar de que su ambiente sea un poco hostil. Pueden descargarla desde:

You are not allowed to view links. Register or Login

Havij


Ilustración 7. Interfaz gráfica de Havij.


Una herramienta que se volvió muy popular por las personas que hacen ciberdelincuencia y que tomó tanta fuerza por su facildiad de uso. Desarrollado en vb6 y por ITSecTeam, es una herramienta la cual nos permitirá volcar datos, dumpear tablas, obtener usuarios y hashes de contraseñas y entre otros. La página de ITSecTeam no existe, por tanto, puedes buscar y descargar de donde creas que es más conveniente.

SQL Poizon


Ilustración 8. Interfaz gráfica de Sql Poizon.

La interfaz gráfica de SQL Poizon para usuarios sin una gran experiencia permite realizar inyecciones con una gran eficiencia. SQL Poizon también tiene la opción para seleccionar dorks existentes o crear nuestro propio dork. Al igual que Havij, podrás buscar la herramienta en Google y revisar cuál es la opción más conveniente.

Para finalizar, recuerda que existen muchas más herramientas, como por ejemplo: Priamos, mySQLenum, DarkMySQLi, Sqlus, Witool, Pysqlin, Pangolin, Enema SQLi y entre otros.

Recuerda que cualquier herramienta donde no se encuentre el sitio oficial es mucho mejor realizar las pruebas en entornos controlados. Además, deberías aprender de cómo hacer éstas manualmente, así comprenderás el cómo funciona todo. La recolección de éstas herramientas pretende mostrar cuál podrías usar cuando ya tienes algo de experiencia y necesitas tiempo.

Si conoces otra herramienta que desees compartir, puedes comentarla :).

Posdata: en cada uno de los enlaces podrán ver las características de cada una de ellas, no las puse en el post porque no tendría sentido.

Un saludo.


« Última modificación: Octubre 24, 2017, 07:36:04 pm por Mortal_Poison »
Become the change you seek in the world. -Gandhi.


 

¿Como debo empezar para auditar un servidor web? - Nivel Intermedio

Iniciado por BrowserNet

Respuestas: 12
Vistas: 12000
Último mensaje Octubre 09, 2016, 02:24:36 am
por ceroMee
NethServer una excelente opción para la creación de servidores en casa u oficina

Iniciado por Dragora

Respuestas: 0
Vistas: 536
Último mensaje Noviembre 08, 2019, 07:46:41 pm
por Dragora
Configura un servidor SSH en Ubuntu para acceder a tu equipo de forma remota

Iniciado por 54NDR4

Respuestas: 2
Vistas: 4161
Último mensaje Abril 10, 2013, 04:11:48 pm
por Adastra
WhoUr herramienta para recopilar informacion de una web y buscar webs a vul sqli

Iniciado por jopcode

Respuestas: 0
Vistas: 3225
Último mensaje Noviembre 30, 2017, 10:57:00 pm
por jopcode
mod_security y mod_evasive en GNU/Linux CentOS (para detener ataques DDOS).

Iniciado por july

Respuestas: 5
Vistas: 5806
Último mensaje Noviembre 21, 2012, 05:30:47 am
por Adastra