Статья WrapSqlmap - массовый слив баз с помощью доработанного sqlmap

Привет, Codeby. Давным давно мне в руки попала версия sqlmap, который может все то, что и оригинальный sqlmap, только цель мы указываем в файле sites.txt( в wrapper_config.py можно изменить название файла ) и не одну. Допустим, если Вы арендуете сервак средней мощности, то за день WrapSqlmap может проверить около 3-4 тысяч сайтов. Я попытался найти автора программы, но так и не получилось( если кто знает автора передайте ему респект ). Также я знаю, что есть еще одна версия, где полностью переписано ядро. Ссылка на скачивание -

Ссылка скрыта от гостей

Итак, все самое главное находится в двух файлах wrapper_config.py и wrapper.py.

В этом файле мы изменяем нужные нам параметры, допустим название файла с целями, указываем параметры для Sqlmap: RISK, LEVEL, потоки, прокси и прочее...

Я как человек, который любит писать все свое не удержался и решил немного доработать, хоть здесь и так все на высоте, я добавил всего то пару функций, первая это проверка файла с целями, она проверяет стоит ли перед доменом протокол( http, https ), если нет, то добавляет, также ищет и удаляет такие домены как facebook, microsoft и.т.п. Если вы не хотите, чтобы прога проверяла Ваш файл с целями, то в wrapper_config.py найдите параметр Check_List и поставьте значение False. Также я добавил слив по колонкам, то есть при запуске программы Вы указываете колонки, которые sqlmap должен слить. Пример:

python wrapper.py email,pass,ssn

Если Вы не укажете аргумент, то поиск колонок будет идти по умолчанию. Программа параллельно открывает кучу потоков и запускает sqlmap. Я специально не хочу все рассказывать об этой программе, так как натворить дел с помощью нее можно. Вот скриншот работы программы:

Сайт на скриншоте был взят в качестве примера, никакого вреда причинено не было

Я думаю, что такую программу все-таки нужно разместить в открытый доступ, так как у многих с которыми я общался она уже есть. Я еще планирую ее доработать для себя, например сделать удаление дубликатов сразу при проверке файла с целями, хоть такая функция уже есть в оригинальном коде, я не знаю насколько хорошо она работает и возможно изменю параметры самой команды sqlmap.

P.S Если Вы найдете дампы, то они старого владельца, как и список с целями, которые уже неактуальны как и дампы.

 

[booms1]

В конфиге менял на sites и site также менял в папке название, версия конфига и название текстовика которые работали на линуксе на винде работать не хотят

  File "C:\wrap_sqlmap\wrapper.py", line 768, in <module>
    sites_dev()
  File "C:\wrap_sqlmap\wrapper.py", line 643, in sites_dev
    urls = open(wrapper_config.URLS_FILE).read().splitlines()
IOError: [Errno 2] No such file or directory: 'sites.txt'

 

[booms1]

В конфиге менял на sites и site также менял в папке название, версия конфига и название текстовика которые работали на линуксе на винде работать не хотят

  File "C:\wrap_sqlmap\wrapper.py", line 768, in <module>
    sites_dev()
  File "C:\wrap_sqlmap\wrapper.py", line 643, in sites_dev
    urls = open(wrapper_config.URLS_FILE).read().splitlines()
IOError: [Errno 2] No such file or directory: 'sites.txt'

Проблему решил, сам не знаю как
Из знающих, можете подсказать, как Вы настраиваете файл конфиг под массовый скан 4-10к линков?

 

[booms1]

В чём может быть проблема, при установки прокси на true, в конфиг вписываю юрл бетспроксей по ip, с выбором по стране и быстрым откликом прокси, по итогу все соединения идут с ошибкой

 

[cryhack]

Привет, Codeby. Давным давно мне в руки попала версия sqlmap, который может все то, что и оригинальный sqlmap, только цель мы указываем в файле sites.txt( в wrapper_config.py можно изменить название файла ) и не одну. Допустим, если Вы арендуете сервак средней мощности, то за день WrapSqlmap может проверить около 3-4 тысяч сайтов. Я попытался найти автора программы, но так и не получилось( если кто знает автора передайте ему респект ). Также я знаю, что есть еще одна версия, где полностью переписано ядро. Ссылка на скачивание -

Ссылка скрыта от гостей

Итак, все самое главное находится в двух файлах wrapper_config.py и wrapper.py.

Посмотреть вложение 29271

В этом файле мы изменяем нужные нам параметры, допустим название файла с целями, указываем параметры для Sqlmap: RISK, LEVEL, потоки, прокси и прочее...

Я как человек, который любит писать все свое не удержался и решил немного доработать, хоть здесь и так все на высоте, я добавил всего то пару функций, первая это проверка файла с целями, она проверяет стоит ли перед доменом протокол( http, https ), если нет, то добавляет, также ищет и удаляет такие домены как facebook, microsoft и.т.п. Если вы не хотите, чтобы прога проверяла Ваш файл с целями, то в wrapper_config.py найдите параметр Check_List и поставьте значение False. Также я добавил слив по колонкам, то есть при запуске программы Вы указываете колонки, которые sqlmap должен слить. Пример:

python wrapper.py email,pass,ssn

Если Вы не укажете аргумент, то поиск колонок будет идти по умолчанию. Программа параллельно открывает кучу потоков и запускает sqlmap. Я специально не хочу все рассказывать об этой программе, так как натворить дел с помощью нее можно. Вот скриншот работы программы:

Посмотреть вложение 29272
Сайт на скриншоте был взят в качестве примера, никакого вреда причинено не было

Я думаю, что такую программу все-таки нужно разместить в открытый доступ, так как у многих с которыми я общался она уже есть. Я еще планирую ее доработать для себя, например сделать удаление дубликатов сразу при проверке файла с целями, хоть такая функция уже есть в оригинальном коде, я не знаю насколько хорошо она работает и возможно изменю параметры самой команды sqlmap.

P.S Если Вы найдете дампы, то они старого владельца, как и список с целями, которые уже неактуальны как и дампы.

Ничего нового?

 

[macarone]

При запуске wrapper вот такая error про отсутствие скобок, хотя прочитал топик такой ошибки не встретил
File "wrapper.py", line 51
print DUMP_SQLMAP_SAVE
^
SyntaxError: Missing parentheses in call to 'print'. Did you mean print(DUMP_SQLMAP_SAVE)?

 

[Hiccstrid2019]

При запуске wrapper вот такая error про отсутствие скобок, хотя прочитал топик такой ошибки не встретил
File "wrapper.py", line 51
print DUMP_SQLMAP_SAVE
^
SyntaxError: Missing parentheses in call to 'print'. Did you mean print(DUMP_SQLMAP_SAVE)?

Ты запускаешь с третьим питоном, но программа написана на втором.

 

[macarone]

Ты запускаешь с третьим питоном, но программа написана на втором.

Спасибо! пробывал по разному но ошибка
python2.7 wrapper.py
Traceback (most recent call last):
File "wrapper.py", line 23, in <module>
from brutecms import brutecont
File "/root/wrap/wrap_sqlmap/brutecms.py", line 2, in <module>
import requests
File "/root/wrap/wrap_sqlmap/requests/__init__.py", line 43, in <module>
import urllib3
File "/root/wrap/wrap_sqlmap/urllib3/__init__.py", line 8, in <module>
from .connectionpool import (
File "/root/wrap/wrap_sqlmap/urllib3/connectionpool.py", line 11, in <module>
from .exceptions import (
File "/root/wrap/wrap_sqlmap/urllib3/exceptions.py", line 2, in <module>
from .packages.six.moves.http_client import (
ImportError: No module named packages.six.moves.http_client

версия
python2.7 -V
Python 2.7.16

 

[Hiccstrid2019]

Спасибо! пробывал по разному но ошибка
python2.7 wrapper.py
Traceback (most recent call last):
File "wrapper.py", line 23, in <module>
from brutecms import brutecont
File "/root/wrap/wrap_sqlmap/brutecms.py", line 2, in <module>
import requests
File "/root/wrap/wrap_sqlmap/requests/__init__.py", line 43, in <module>
import urllib3
File "/root/wrap/wrap_sqlmap/urllib3/__init__.py", line 8, in <module>
from .connectionpool import (
File "/root/wrap/wrap_sqlmap/urllib3/connectionpool.py", line 11, in <module>
from .exceptions import (
File "/root/wrap/wrap_sqlmap/urllib3/exceptions.py", line 2, in <module>
from .packages.six.moves.http_client import (
ImportError: No module named packages.six.moves.http_client

версия
python2.7 -V
Python 2.7.16

Ругается, что нет такого модуля: No module named packages.six.moves.http_client

 

[booms1]

Ругается, что нет такого модуля: No module named packages.six.moves.http_client

Открой командную строку из адреса где у тебя лежит папка с софтом, после в командную строку перетащи exe шник питона , потом exe шник pip пропиши install six

 

[Hiccstrid2019]

Открой командную строку из адреса где у тебя лежит папка с софтом, после в командную строку перетащи exe шник питона , потом exe шник pip пропиши install six

Мне то это не нужно. Ты не тому ответил.

 

[macarone]

archLinux
pip2 install six не помогло

Удалил папки requests и urllib3
установил
pip2 install urllib3
pip2 install requests
pip2 install six

версии
Python 2.7.16
pip2 -V
pip 19.0.3 from /usr/lib/python2.7/site-packages/pip (python 2.7)

Запускаю
python2.7 wrapper.py
Traceback (most recent call last):
File "wrapper.py", line 25, in <module>
from psutil import Process, TimeoutExpired
File "/root/wrap/wrap_sqlmap/psutil/__init__.py", line 68, in <module>
from . import _pslinux as _psplatform
File "/root/wrap/wrap_sqlmap/psutil/_pslinux.py", line 24, in <module>
from . import _psutil_linux as cext
ImportError: cannot import name _psutil_linux

Что еще установить, удалить, поправить?

Щас удалил еще
rm -R psutil
заного заинсталил
pip2 install psutil
Запустил
python2 wrapper.py

Ошибка нет файла c целями site.txt
Решил созданием файла site.txt или можно поменять имя в
wrapper_config.py
Заработало

 

[buket]

Сейчас почти закончена разработка веб панели для врапер, сам скрипт улучшен, добавлены новые функции, такие как поиск админ панели, в скором времени будет и тестирование на проникновения в нее, сама панель предоставляет огромный выбор действий и различные варианты запуска врапера, также сделана функция поиск SQLi по доменам. Определение популярности сайта, страны, на чем написан сайт, есть ли cloudflare и уязвим ли к clickjacking. Также в панель встроен обычный sqlmap для поиска по одному сайту и еще несколько сканеров уязвимостей. Уже скоро релиз.

когда потестить можно будет?

 

[DefWolf]

когда потестить можно будет?

SQL-inj MultiTool

SQL-MT — многофункциональный модульный сканер для поиска и эксплуатации sql injection. Осуществлена поддержка как ссылок с GET параметром, так и голых доменов. SQL-MT способен одновременно обрабатывать до 25 ссылок в 3 потока. Количество ссылок загружаемых в сканер не ограничено. Полная...

codeby.net

 

[Vorobey]

Обновил ссылку на архив:

Ссылка скрыта от гостей

Обновите пожалуйста ссылку

 

[Vorobey]

Обновите пожалуйста ссылку

Всё,разобрался

 

[Easypay]

подскажите что за ошибка?

Ссылка скрыта от гостей

 

[Xulinam]

а на сайт выложить скрин ошибки нельзя?

 

[Easypay]

ребята подскажите в чем проблема?

 

[DefWolf]

Установи pip и только потом ставь модуль через него

 

[Easypay]

Установи pip и только потом ставь модуль через него

cпасибо, пока ждал ответа разобрался) теперь другая проблема)) пока к сожалению ответа не нашел(