Наш партнер GENESIS HACKSPACE

Хакспейс: Клуб — физическое место, где собираются увлеченные техникой, IT, электроникой, роботами и физикой люди. Первая сеть бесплатных хакспейсов в г.Тверь и области.

На интересном ресурсе был представлен SQLMAP-Web-GUI. Это графический интерфейс для программы sqlmap (предназначенной для анализа веб-приложений на SQL-инжекты).

У этой утилиты открытый исходный код, есть парочка симпатичных видео (можно найти по приведённой ссылке). Я сам до сих пор не овладел в полной мере sqlmap и, конечно же, было бы интересно посмотреть и на графический интерфейс.

Ещё во время установки мне показалось, что больно уж всё заморочено — может быть потратить это время на чтение справки sqlmap? Давайте смотреть вместе.

Установка SQLMAP-Web-GUI на Kali Linux

Автор нигде этого не говорит, но для сервера нужна реализация JSON для PHP. Ставим этот пакет:

Следующая большая команда запустит Apache и MySQL, скачает необходимые файлы и откроет файл для редактирования.

(Внимание, эта команда затирает конфиг, если вы уже всё настроили, то сервер запускайте так: service apache2 start && service mysql start)

В открывшемся файле всё стираем, а записываем туда следующее:

По какому-ту наитию, авторы Kali Linux забыли положить файл sqlmapapi.py (хотя в исходных кодах он есть). Исправляем этот просчёт:

Запускаем сервер API sqlmap:

После этого в браузере нужно перейти по адресу http://127.0.0.1/sqlmap/

Можно набрать в консоли:

Главное окно выглядит симпатично и даже стильно:

05

После очень долгих мучений мне удалось заставить работать эту программу:

06

(первые результаты сканирования: сайт уязвим, хотя я это знал и так).

Выводы по SQLMAP-Web-GUI

  • Судя по всему, эта программа не тестировалась на Kali Linux, что привело к большой трате времени с решением возникших при её установки проблем.
  • Программа не выводит сообщений о происходящем вплоть до окончания процесса. В связи с этим, если вы выбрали, например, дамп базы при слепом SQL-инжекте (процесс может занять ОЧЕНЬ много времени), то всё это время вы будете ожидать в полном неведении что же происходит. Напомню, сама sqlmap намного более информативна в этом плане.
  • Да и с английским меню не очень удобно — те, кто знает английский, прочитают справку по консольной версии — пользы будет больше.
  • Я не увидел какого-то прорыва. Честно говоря, для меня это ещё один бесполезный графический интерфейс к очень хорошей программе. К сожалению, большинство этих графических интерфейсов не несут новых функций, бывают очень глючными и, на самом деле, мало кто ими пользуется.

Похожие темы

Новая версия Kali Linux 1.0.9a Kali Linux 1.0.9a   Давим баги с Kali 1.0.9a За последние пару недель мы увидели кучу раздражающих ошибок, которые вышли на сц...
Аварийное самоуничтожение LUKS в Kali... Полное шифрование диска Kali Linux Будучи испытателями на проникновение, нам часто приходится путешествовать с чувствительными данными, сохранён...
Tactical Exploitation. WarBerryPi https://codeby.net/forum/threads/warberrypi-tactical-exploitation.58797/ Привет форум! Давайте рассмотрим очередной инструмент для сканирования лок...
Black Mamba — Metasploit Shellcode generator... https://codeby.net/forum/threads/venom-1-0-12-codename-black-mamba.58468/ В этой статье я хочу ознакомить вас с неплохим инструментом для пентестин...
Penetration Testing Toolkit — APT2 https://codeby.net/forum/threads/apt2-penetration-testing-toolkit.58070/ Привет! В этой теме я расскажу об одном полезном инструменте для сканирова...