《企業(yè)網(wǎng)安全評估和運(yùn)維》教學(xué)案例-課件-SSQLInjection

項(xiàng)目案例-企業(yè)網(wǎng)安全評估和運(yùn)維-

SSQLInjection工具簡介page2超級SQL注入工具（SSQLInjection）是一款基于HTTP協(xié)議自組包的SQL注入工具，支持出現(xiàn)在HTTP協(xié)議任意位置的SQL注入，支持各種類型的SQL注入，支持HTTPS模式注入。超級SQL注入工具目前支持Bool型盲注、錯誤顯示注入、Union注入，支持Access、MySQL5以上版本、SQLServer、Oracle等數(shù)據(jù)庫。超級SQL注入工具采用C#開發(fā)，底層采用Socket發(fā)包進(jìn)行HTTP交互，極大的提升了發(fā)包效率，相比C#自帶的HttpWebRequest速度提升2-5倍。超級SQL注入工具支持盲注環(huán)境獲取世界各國語言數(shù)據(jù)，解決了各種常見注入工具在盲注環(huán)境下無法支持中文等多字節(jié)編碼的數(shù)據(jù)。2工具特點(diǎn)page2

支持任意地點(diǎn)出現(xiàn)的任意SQL注入

支持各種語言環(huán)境。大多數(shù)注入工具在盲注下，無法獲取中文等多字節(jié)編碼字符內(nèi)容，本工具可完美解決。

支持注入數(shù)據(jù)發(fā)包記錄。讓你了解程序是如何注入，有助于快速學(xué)習(xí)和找出注入問題。

依靠關(guān)鍵字進(jìn)行盲注，可通過HTTP相應(yīng)狀態(tài)碼判斷，還可以通過關(guān)鍵字取反功能，反過來取關(guān)鍵字。

程序運(yùn)行需要安裝.NetFramework4.0。運(yùn)行環(huán)境Win7,Win8環(huán)境已測試，其他環(huán)境請自測。3使用實(shí)例page2使用抓包工具將HTTP發(fā)包數(shù)據(jù)抓取填寫到這里，可使用Fiddler、BurpSuite等抓包工具，或手工配置數(shù)據(jù)包。注意事項(xiàng)：如果是POST提交數(shù)據(jù)，必須有Content-Length屬性，程序才能自動計算長度。4注入設(shè)置開啟URL編碼302跟蹤開啟URL編碼后，程序?qū)丫幋a標(biāo)記中的數(shù)據(jù)進(jìn)行URL編碼操作，建議選擇，因?yàn)檎埱髤?shù)中如果有特殊字符，可能導(dǎo)致發(fā)包結(jié)果不一致。默認(rèn)未開啟，開啟后，程序遇到302重定向時，將請求重定向的目標(biāo)地址。如果可以根據(jù)狀態(tài)嗎判斷注入時，可選中，下面關(guān)鍵字配置狀態(tài)嗎=碼，進(jìn)行注入。5注入標(biāo)記page2通常手工注入使用”xxxx.asp?id=1and1=1”進(jìn)行注入判斷，那么這里選中“and1=1”點(diǎn)擊標(biāo)記注入，程序?qū)⒃谟凶⑷氲奈恢迷O(shè)置注入標(biāo)記，程序注入時將標(biāo)記替換成注入獲取數(shù)據(jù)的代碼。核心就是將我們測試語句中的“and1=1”替換成標(biāo)記。6編碼標(biāo)記page2選擇