kali linux 數據庫分析工具簡述

本文轉載自查看原文 2019-03-29 17:11 703

bbqsql

SQL盲注可能很難被利用。當可用的工具工作時，它們運行良好，但是當它們不工作時，您必須編寫自定義的東西。這是耗時且乏味的。 BBQSQL可以幫助你解決這些問題。

BBQSQL是一個用Python編寫的SQL盲注框架。在攻擊棘手的SQL注入漏洞時非常有用。 BBQSQL也是一個半自動工具，允許對那些難以觸發SQL注入結果進行相當多的自定義。該工具可與數據庫無關，並且功能多樣。它還具有直觀的UI，可以更輕松地設置攻擊。 Python geven的實現使BBQSQL運行非常快。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329170933006-764539931.png)

## DBPwAudit ## DBPwAudit是一個Java數據庫密碼審計工具，它是一個可以執行在線審計密碼質量的數據庫引擎。應用程序可以通過將新JDBC驅動程序復制到JDBC目錄來添加其他數據庫驅動程序。

這個工具在kali滲透工具集里已經被除名了。。。

hexorbase

HexorBase是一個數據庫應用程序，設計用於從集中位置同時管理和審核多個數據庫服務器，它能夠對常見數據庫服務器（MySQL，SQLite，Microsoft SQL Server，Oracle，PostgreSQL）執行SQL查詢和暴力攻擊。

HexorBase允許通過代理進行數據包路由，甚至可以使用metasploit轉向滑動來與遠程無法訪問的服務器進行通信，這些服務器隱藏在本地子網中。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329170938638-616782551.png)

## jsql ## jSQL Injection是一個輕量級應用程序，用於從遠程服務器中查找數據庫信息。 jSQL Injection是免費的，開源的和跨平台的（Windows，Linux，Mac OS X，Solaris）。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329170946481-105139307.png)

## mdb系列 ## mdb-sql是與MDB Tools一起分發的實用程序。 mdb-sql允許使用有限的SQL子集語言來查詢MDB數據庫。用法： > mdb-sql [-HFp] [-d ] [-i ] [-o ] [ ] > mdb-sql [ -HFp ] [ -d <分隔符> ] [ -i <文件> ] [ -o <文件> ] [ <數據庫> ] > 選項： > -H Supress標題行。 > -F 進制頁腳行 > -p 以標簽分隔格式簡單打印輸出。 > -d 指定一個替代列分隔符。如果未指定分隔符，則在打印（-p）關閉的情況下，列將由制表符分隔。如果啟用漂亮 > 的打印，這個選項是沒有意義的。 > -i 指定一個輸入文件。該選項允許將包含SQL的輸入文件傳遞給mdb-sql。見備注。 > -o 指定一個輸出文件。此選項允許使用輸出文件的名稱而不是stdout。

Oracle scanner

Oscanner是一個用Java開發的Oracle評估框架。它有一個基於插件的架構，並附帶了幾個的插件：

Sid枚舉
密碼測試（常用和字典）
枚舉Oracle版本
枚舉帳戶角色
枚舉帳戶權限
枚舉帳戶哈希值
列舉審計信息
枚舉密碼策略
枚舉數據庫鏈接

界面

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329170955550-2083067029.png)

sidgusser

根據預定義的字典文件猜測針對Oracle數據庫的sid /實例。速度很慢（每秒80-100次猜測）但它可以完成這項工作。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329171001551-1202807766.png)

## sqldict ## SQLdict是SQL Server的字典攻擊工具。 ## tnscmd10g ## 在簡單的級別上與端口1521 / tcp上的Oracle TNS偵聽器通信的工具，例如發送ping命令或請求版本。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329171013778-530397180.png)

## sqlsus ## qlsus是一個開源的MySQL注入和接管工具，用perl編寫。

通過命令行界面，可以檢索數據庫結構，注入自己的SQL查詢（甚至是復雜的查詢），從Web服務器下載文件，抓取網站以獲取可寫目錄，上傳和控制后門，克隆數據庫（s），還有更多......

只要相關，sqlsus將模仿MySQL控制台輸出。

sqlsus專注於速度和效率，優化可用的注入空間，充分利用MySQL功能。

它使用堆疊子查詢和強大的盲注入算法來最大化每個Web服務器命中收集的數據。

使用多線程，sqlsus是一個非常快速的數據庫轉儲器，無論是帶內注入還是盲注。

如果權限足夠高，sqlsus將非常有助於通過注入點上傳后門，並接管Web服務器。

它使用SQLite作為后端，以便更容易地使用已被轉儲的內容，並集成了許多常用功能，如cookie支持，socks / http代理，https。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329171022972-558236719.png)

## sqlninja ## 想要從Microsoft SQL Server上的SQL注入到數據庫的完整GUI訪問嗎？采取一些新的SQL注入技巧，在注冊表中添加幾個遠程鏡頭以禁用數據執行保護，混合使用一個自動生成調試腳本的小Perl，將所有這些放在帶有Metasploit包裝器的振動器中，搖勻然后你只有一個sqlninja的攻擊模塊！

Sqlninja是一個工具，旨在利用使用Microsoft SQL Server作為后端的Web應用程序上的SQL注入漏洞。

其主要目標是在易受攻擊的數據庫服務器上提供遠程訪問，即使在非常惡劣的環境中也是如此。當發現SQL注入漏洞時，滲透測試人員應該使用它來幫助和自動化接管數據庫服務器的過程。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329171032363-1140338611.png)

## sqlmap ## sqlmap是一個開源的滲透測試工具，可以自動檢測和利用SQL注入漏洞並接管數據庫服務器。它配備了強大的檢測引擎，為終極滲透測試儀提供了許多利基功能，以及從數據庫指紋識別，從數據庫中獲取數據到訪問底層文件系統以及在操作系統上執行命令的各種交換機。

![](https://img2018.cnblogs.com/blog/1506386/201903/1506386-20190329171040802-426481901.png)

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 簡述數據庫三大范式常用的NoSQL數據庫類型簡述 DBA數據庫：MySQL簡述 Kali Linux 弱點分析工具全集簡述mysql數據庫配置文件 Kali Linux工具分類數據庫同步工具 kali 2.0中msf連接postgres數據庫用phpStorm的數據庫工具來管理你的數據庫列式數據庫與行式數據庫分析