صفحه 1 از 10 123 ... آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 , از مجموع 146
  1. #1
    تاریخ عضویت
    Jan 2008
    نوشته ها
    118
    تشکر از ارسال
    28
    Thanked 69 Times in 11 Posts

    Havij - - برنامه ای برای sql injection خودکار

    سلام. این برنامه رو برای sql injection سایت های اسیب پذیر نوشتم.
    قابلیت های برنامه:
    دریافت اطلاعاتی از سرور sql
    دریافت بانک های اطلاعاتی، جدول ها و اطلاعات انها
    خواندن فایل های لوکال (فعلا فقط در mysql)
    بانک های اطلاعاتی: mssql 2000/2005 with error , mysql



    قابلیت های برنامه به زودی ارتقاع پیدا می کنه
    ورژن قدیمی :
    دانلود

    ورژن جدید:
    دانلود
    ویرایش توسط r3dm0v3 : 07-25-2009 در ساعت 09:02 AM

  2. 07-12-2009, 08:34 AM
    دلیل
    پاک سازی ....

  3. #2
    تاریخ عضویت
    Jul 2008
    محل سکونت
    Any Where [at] Night
    نوشته ها
    507
    تشکر از ارسال
    386
    Thanked 35 Times in 11 Posts
    ممنون یک بار دیگه آنالیزش کن تو get کردن اسامی تیبل و اطلاعات ضعف داره تععداد column رو در میاره ولی ادامه...

  4. #3
    تاریخ عضویت
    Jan 2008
    نوشته ها
    118
    تشکر از ارسال
    28
    Thanked 69 Times in 11 Posts
    همینجوری اسمشو گذاشتم هویج
    لطفا اطلاعات بیشتری بده تو چه بانک اطلاعاتی مشکل داره دقیقا مشکلش چیه اگه میتونی target
    رو پیغام خصوصی کن.
    سعی می کنم اشکالاتشو درست کنم

  5. #4
    تاریخ عضویت
    Jul 2004
    نوشته ها
    2,550
    تشکر از ارسال
    284
    Thanked 11 Times in 7 Posts
    این خیلی جالب شده حال کردیم
    دریافت بانک های اطلاعاتی، جدول ها و اطلاعات انها
    این وقتی جواب میده که پرمیشن بندی نشده باشه؟ یا کلا آزمون و خطاست؟
    ببین دادا نمیدونم میدونی یا نه رو user-agent و بقیه دنگو فنگه هدر ها هم میشه انجکت کرد رو اونام کار کن مثلا x-forwarded-for
    ویرایش توسط takfanar : 07-12-2009 در ساعت 11:09 AM
    خونه
    www.parspishro.ir
    ذهن آشفته ای من
    www.literature.blogfa.com

  6. #5
    تاریخ عضویت
    Jun 2006
    محل سکونت
    Tehran
    نوشته ها
    1,450
    تشکر از ارسال
    847
    Thanked 581 Times in 181 Posts
    نقل قول نوشته اصلی توسط takfanar نمایش پست ها
    ببین دادا نمیدونم میدونی یا نه رو user-agent و بقیه دنگو فنگه هدر ها هم میشه انجکت کرد رو اونام کار کن مثلا x-forwarded-for
    اونجوری منوال بهتره
    چون اگه پکت هاتو کپچر کنی اینجکت کنی کمتر تول ها وقتت رو میگیرن

  7. #6
    تاریخ عضویت
    Jun 2006
    محل سکونت
    Tehran
    نوشته ها
    1,450
    تشکر از ارسال
    847
    Thanked 581 Times in 181 Posts
    من خودم به شخصه از تولز ها استفاده نمیکنم

    اما اگه بتونی واسه ی mod_security این بای پس که ار روی varible انجام میشه رو اضافه کنی جالب میشه
    چون به صورت دستی خیلی طول میکشه و اذیت میکنه

  8. #7
    تاریخ عضویت
    Jun 2006
    محل سکونت
    Tehran
    نوشته ها
    1,450
    تشکر از ارسال
    847
    Thanked 581 Times in 181 Posts
    کد PHP:
    Check if target is vulnerable
    Web Server
    Microsoft-IIS/6.0
    Powered
    -byASP.NET
    Finding positive pattern
    Target Vulnerable 
    :D
    DB Server
    :MySQL >=5
    Check 
    if target is vulnerable
    Web Server
    Microsoft-IIS/6.0
    Powered
    -byASP.NET
    Finding positive pattern
    Target Not Vulnerable 
    :(
    Check if target is vulnerable
    Web Server
    Microsoft-IIS/6.0
    Powered
    -byASP.NET
    Finding positive pattern
    Target Vulnerable 
    :D
    DB Server
    :MySQL
    Finding columns count
    Can
    't find column count and/or string column (blind injection not supported yet!) 
    یکم شاس میزنه ها
    اول که میگه .نت هست
    بعد مای اس کیو ال
    آخر هم به بلایند رسید

  9. #8
    تاریخ عضویت
    Jan 2008
    نوشته ها
    118
    تشکر از ارسال
    28
    Thanked 69 Times in 11 Posts
    نقل قول نوشته اصلی توسط Mormoroth نمایش پست ها
    کد PHP:
    Check if target is vulnerable
    Web Server
    Microsoft-IIS/6.0
    Powered
    -byASP.NET
    Finding positive pattern
    Target Vulnerable 
    :D
    DB Server
    :MySQL >=5
    Check 
    if target is vulnerable
    Web Server
    Microsoft-IIS/6.0
    Powered
    -byASP.NET
    Finding positive pattern
    Target Not Vulnerable 
    :(
    Check if target is vulnerable
    Web Server
    Microsoft-IIS/6.0
    Powered
    -byASP.NET
    Finding positive pattern
    Target Vulnerable 
    :D
    DB Server
    :MySQL
    Finding columns count
    Can
    't find column count and/or string column (blind injection not supported yet!) 
    یکم شاس میزنه ها
    اول که میگه .نت هست
    بعد مای اس کیو ال
    آخر هم به بلایند رسید
    این مشکل رو متوجه شدم رو بعضی تارگت ها اینجوری میشه. درستش کردم، ورژن بعدی رو به زودی میدم بیرون!
    و مشکل دیگه که دوستان گفتن تو پیدا کردن جدول ها و اطلاعات بود! این مشکل تو دیتابیس mysql<5 وجود داره چون برنامه جدول ها رو از information_schema در میاره و این دیتا بیس در mysql>5 وجود داره! البته این مشکل هم در ورژن بعدی حل میشه. (جدول ها رو باید حدس بزنه!)
    پیشنهاد انجکت کردن از طریق هدر ها مثل co.ok.ie و referrer رو هم سعی می کنم اضافه کنم.
    اگه روش های بهتری برای اینجکت به نظرتون می رسه بگین مثلا چه روشی برای خوندن nامین سطر اطلاعات تو mssql به ذهنتون می رسه؟

  10. #9
    تاریخ عضویت
    Feb 2009
    نوشته ها
    36
    تشکر از ارسال
    181
    Thanked 7 Times in 3 Posts
    جالبه یکی دیگه هم ادعای نوشتنشو داره ! loool

    http://www.h4ckcity.net/forum/thread-1544.html

  11. 07-13-2009, 10:41 AM
    دلیل
    پاک سازی ....

  12. 07-15-2009, 01:28 PM
    دلیل
    پیشگیری از کتک کاری

  13. 07-22-2009, 01:26 PM
    دلیل
    هروقت اماده بشه خودش میزاره اسپم نکنین

  14. #10
    تاریخ عضویت
    Jan 2008
    نوشته ها
    118
    تشکر از ارسال
    28
    Thanked 69 Times in 11 Posts
    ورژن جدیدشو اماده کردم.
    بعضی مشکلات قبلی برطرف شد یه سر ویژگی های جدید هم بهش اضافه شده:
    -ظاهر جدید
    -دیتابیس MSSQL no Error
    -متود POST
    -قابلیت Save
    -تنظیمات بیشتر



    دانلود

  15. #11
    تاریخ عضویت
    Jan 2008
    نوشته ها
    118
    تشکر از ارسال
    28
    Thanked 69 Times in 11 Posts
    ورژن جدیدشو آماده کردم

    تغییرات برنامه:
    -اجرای دستور برای MsSQL
    -پیدا کردن جدول ها و ستون ها در MySQL<5
    -تزیق از نوع رشته اضافه شد.
    -ایراد های برنامه برطرف شد.

    دانلود

  16. #12
    تاریخ عضویت
    Dec 2005
    نوشته ها
    81
    تشکر از ارسال
    13
    Thanked 0 Times in 0 Posts

    Thumbs up

    نقل قول نوشته اصلی توسط r3dm0v3 نمایش پست ها
    ورژن جدیدشو آماده کردم


    تغییرات برنامه:
    -اجرای دستور برای MsSQL
    -پیدا کردن جدول ها و ستون ها در MySQL<5
    -تزیق از نوع رشته اضافه شد.
    -ایراد های برنامه برطرف شد.

    دانلود
    اگه بتونی upload shell هم بهش اضافه بشه فکر کنم کامل بشه
    البته access هم جای خودشو داره
    البته 2 تا پیشنهاد بود واسه کامل تر شدن ولی درکل بازم جالبه
    ویرایش توسط alipc1 : 08-10-2009 در ساعت 12:59 PM

  17. #13
    تاریخ عضویت
    Jan 2008
    نوشته ها
    118
    تشکر از ارسال
    28
    Thanked 69 Times in 11 Posts
    و اما ورژن 1.03

    ویژگی های جدید:
    -اضافه شدن query
    -بهتر شدن الگوریتم تحلیلی مورد استفاده
    -تزریق با syntax های مختلف اضافه شد
    -باگ های زیادی درست شد

    الان دیگه تقریبا می تونم بگم هر تارگتیو اینجکت می کنه البته به جز مواردی که احتیاج به هوش انسان دارن!

    دانلود

    دوستان اگر مشکلی توش دیدن ممنون میشم بهم بگین. سعی می کنم پیشنهاداتونو عملی کنم. دیتا بیس access و oracle رو هم بهش اضافه می کنم

  18. #14
    تاریخ عضویت
    Jun 2006
    محل سکونت
    Tehran
    نوشته ها
    1,450
    تشکر از ارسال
    847
    Thanked 581 Times in 181 Posts
    چون علاقه زیادی به اینجکشن دارم
    برای بلایند هم بخواد تست کنه خیلی خوبه
    قکر نمیکنم کد نویسیش سخت نباشه
    بروت کردن اون چار ها خیلی خوب میشه
    در کل کار جالبی بود
    در مورد syntax ها هم اگه بشه دستی ادیت کرد خوب میشه(تجربه ار یک برنامه ی خوب)

  19. #15
    تاریخ عضویت
    Jun 2008
    نوشته ها
    155
    تشکر از ارسال
    85
    Thanked 0 Times in 0 Posts
    proxy setting چی پس؟
    بدون اونکه ضایع اس
    ٌWHERE
    IS
    MY
    SHABGARD
    ?

 

 

موضوعات مشابه

  1. مشاهده درخواست های ارسالی برنامه havij ؟
    توسط one hacker alon در انجمن بخش کاربران / سوالات مبتدی
    پاسخ ها: 3
    آخرين نوشته: 05-05-2013, 09:07 PM

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •