Статья WrapSqlmap - массовый слив баз с помощью доработанного sqlmap

Привет, Codeby. Давным давно мне в руки попала версия sqlmap, который может все то, что и оригинальный sqlmap, только цель мы указываем в файле sites.txt( в wrapper_config.py можно изменить название файла ) и не одну. Допустим, если Вы арендуете сервак средней мощности, то за день WrapSqlmap может проверить около 3-4 тысяч сайтов. Я попытался найти автора программы, но так и не получилось( если кто знает автора передайте ему респект ). Также я знаю, что есть еще одна версия, где полностью переписано ядро. Ссылка на скачивание -

Итак, все самое главное находится в двух файлах wrapper_config.py и wrapper.py.

29271


В этом файле мы изменяем нужные нам параметры, допустим название файла с целями, указываем параметры для Sqlmap: RISK, LEVEL, потоки, прокси и прочее...

Я как человек, который любит писать все свое не удержался и решил немного доработать, хоть здесь и так все на высоте, я добавил всего то пару функций, первая это проверка файла с целями, она проверяет стоит ли перед доменом протокол( http, https ), если нет, то добавляет, также ищет и удаляет такие домены как facebook, microsoft и.т.п. Если вы не хотите, чтобы прога проверяла Ваш файл с целями, то в wrapper_config.py найдите параметр Check_List и поставьте значение False. Также я добавил слив по колонкам, то есть при запуске программы Вы указываете колонки, которые sqlmap должен слить. Пример:
Код:
python wrapper.py email,pass,ssn
Если Вы не укажете аргумент, то поиск колонок будет идти по умолчанию. Программа параллельно открывает кучу потоков и запускает sqlmap. Я специально не хочу все рассказывать об этой программе, так как натворить дел с помощью нее можно. Вот скриншот работы программы:

29272

Сайт на скриншоте был взят в качестве примера, никакого вреда причинено не было

Я думаю, что такую программу все-таки нужно разместить в открытый доступ, так как у многих с которыми я общался она уже есть. Я еще планирую ее доработать для себя, например сделать удаление дубликатов сразу при проверке файла с целями, хоть такая функция уже есть в оригинальном коде, я не знаю насколько хорошо она работает и возможно изменю параметры самой команды sqlmap.

P.S Если Вы найдете дампы, то они старого владельца, как и список с целями, которые уже неактуальны как и дампы.
 
Последнее редактирование:
Еще одно небольшое обновление, теперь и сохранение дампов в txt также идет параллельно. Больше не придется ждать пока прога прочекает все сайты, чтобы увидеть какие сайты уязвимы и найти дампы. Код выше. Архив -
 
Последнее редактирование:
В общем пакет pip установил , проблема таже , кто нибудь решил как запустить нормально на Linux
 
Библиотеку requests удалил а как через pip поставить что бы работало?
 
дело не в этом стоит у меня питон 3 ставил python2 -m pip install requests таже ошибка
 
Еще одно небольшое обновление, теперь и сохранение дампов в txt также идет параллельно. Больше не придется ждать пока прога прочекает все сайты, чтобы увидеть какие сайты уязвимы и найти дампы. Код выше. Архив -
перезалей плиз
 
Перезалил, теперь при сохранении найденных SQLi, скрипт пишет ранг в Alexa. . В теме так же обновил.
 
Последнее редактирование:
  • Нравится
Реакции: SlipX, ActionNum и P4elka
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!