Статья iSQL - Полная автоматизация SQL-инъекций

Приветствую, Codeby! Сегодня я хочу сделать небольшой обзор на инструмент, который позволяет, по сравнению с похожими утилитами, еще сильнее упростить проведение тестирования на проникновения путем использования SQL – инъекций.

Данный инструмент носит название iSQL, произведем его установку в Kali Linux 2018.1 со страницы автора на Github:

git clone https://github.com/xXM0NST3RXx/iSQL.git
apt-get install python3-pip

Запускаем инструмент:

python3 iSQL.py

Функциональные модули iSQL:

• Admin Finder – Производит поиск административной панели, по запросу от пользователя.
• Proxy Section - Этот инструмент использует proxychains. «Рекомендуется использовать прокси-сервер, чтобы избежать запрета на использование Google»
• Dork Generator – Генерирует дорки из CXSecurity и добавляет их в файл dorks, возможно создание дорков по ключевому слову.

Если все сделано правильно попадаем в консоль управления iSQL:

Далее, все, что от нас требуется это – отвечая на вопросы да или нет, подготовить iSQL к запуску сканирования:

Все, дальше iSQL принимается за работу самостоятельно:

В процессе сканирования, к работе подключается Sqlmap автоматически, чтобы проверить уязвимые параметры:

В основном терминале iSQL продолжается сканирование хостов на уязвимости:

В браузере открываются сайты, к которым iSQL подобрал учетные данные (по его мнению, не всегда это корректно)

В целом, инструмент неплохо отработал и по итогам сканирования выдал массу информации, которую можно анализировать дальше.

Надеюсь, информация была полезной, на этом можно закончить.

Специально для Codeby.net.

 

[nekto]

А он когда нибудь останавливается?
Что то у меня ощущение, как будто у него цикл бесконечный - ищет, ищет....

 

[Moody]

Мне кажется, что лучше сканировать и расшаривать сайты одной лишь скулей.
jSql намного слабее SQLMap. Проверял массу уязвимых сайтов, многие jSql не брал, хотя уязвимости были самые очевидные.

Сканировать сайты SQLMap можно так:
sqlmap.py --random-agent -u site.com --form --crawl=2 --batch

 

[karlomarx]

Jsql.а это вроде iSQL

 

[Konstantin]

Добрый день, подскажите, чем можно проверить на уязвимости СУБД (на базе postgresql), если она не имеет своих сайтов и предназначена для функционирования отдельных приложений. Заранее спасибо

 

[HeadShot]

При запуске на Kali выдает ошибку

You don't have google module trying to install!!
sh: 1: pip3: not found
Traceback (most recent call last):
  File "iSQL.py", line 38, in <module>
    import docs.googlesearcher
  File "/root/iSQL/iSQL/docs/googlesearcher.py", line 1, in <module>
    from googlesearch import *
ModuleNotFoundError: No module named 'googlesearch'

pip install googlesearch ничего не нашел,
pip install google доставил один ( другой ) модуль, не помогло.

На Parrot OS работает отлично.

 

[DefWolf]

При запуске на Kali выдает ошибку

You don't have google module trying to install!!
sh: 1: pip3: not found
Traceback (most recent call last):
  File "iSQL.py", line 38, in <module>
    import docs.googlesearcher
  File "/root/iSQL/iSQL/docs/googlesearcher.py", line 1, in <module>
    from googlesearch import *
ModuleNotFoundError: No module named 'googlesearch'

pip install googlesearch ничего не нашел,
pip install google доставил один ( другой ) модуль, не помогло.

На Parrot OS работает отлично.

попробуй google-search

 

[HeadShot]

попробуй google-search

устанивился моудль. Проблема не решилась

 

[Marr]

добрый день!
Скажите, пожалуйста, через прокси jsql можно запустить? Если да то как?

 

[nekto]

добрый день!
Скажите, пожалуйста, через прокси jsql можно запустить? Если да то как?

Вроде как данная софтина ищет /etc/proxychains.conf
Так же наверняка возможно через export "http_proxy=

Ссылка скрыта от гостей

" и export "https_proxy=

Ссылка скрыта от гостей

"

 

[Marr]

Вроде как данная софтина ищет /etc/proxychains.conf
Так же наверняка возможно через export "http_proxy=

Ссылка скрыта от гостей

" и export "https_proxy=

Ссылка скрыта от гостей

"

Спасибо!
Разобрался) она через proxychains хорошо запускается
Еще вопросы остались)

Database работает.
А остальные пункты меню что делают и как их использовать?
Например, web shell и SQL shell?

 

[nekto]

Спасибо!
Разобрался) она через proxychains хорошо запускается
Еще вопросы остались)

Посмотреть вложение 18377

Database работает.
А остальные пункты меню что делают и как их использовать?
Например, web shell и SQL shell?

Я не работал с данной софтиной (предпочитаю sqlmap, он тоже автоматизируется), но судя по всему sql-shell - шелл в sql, это как Stacked Time-based + dba в sqlmap в том же MsSQL
webshell - аплоадит похоже на сервер вебшелл для работы с ОС уязвимого сервера

P.S.: мое личное мнение: игрушки это все. SQLmap - решает!

 

[Marr]

Я не работал с данной софтиной (предпочитаю sqlmap, он тоже автоматизируется), но судя по всему sql-shell - шелл в sql, это как Stacked Time-based + dba в sqlmap в том же MsSQL
webshell - аплоадит похоже на сервер вебшелл для работы с ОС уязвимого сервера

P.S.: мое личное мнение: игрушки это все. SQLmap - решает!

а как sqlmap автоматизируется?

 

[nekto]

а как sqlmap автоматизируется?

Как пример, для поиска целей и автоматизации мне нравиться использовать googleinurl/SCANNER-INURLBR в котором залежен функционал работы с sqlmap
+ самописные скрипты (правда их еще до ума доводить )

 

[mr1302313]

При запуске на Kali выдает ошибку

You don't have google module trying to install!!
sh: 1: pip3: not found
Traceback (most recent call last):
  File "iSQL.py", line 38, in <module>
    import docs.googlesearcher
  File "/root/iSQL/iSQL/docs/googlesearcher.py", line 1, in <module>
    from googlesearch import *
ModuleNotFoundError: No module named 'googlesearch'

pip install googlesearch ничего не нашел,
pip install google доставил один ( другой ) модуль, не помогло.

На Parrot OS работает отлично.

Сорян за археологию, тоже столкнулся с такой проблемой модули устанавливать не надо. Нужно запускать скрипт без абсолютных путей. Файлы которые он не может импортировать лежат в папке docs

То есть если скрипт в папке /home/isql/
нужно запускать не так:
python3 /home/isql/isql.py
a так:
cd /home/isql/
python3 isql.py

 

[Андрей Царьков]

всем привет,кто подскажет как запустить софт через прокси? буду очень благодарен