Статья WrapSqlmap - массовый слив баз с помощью доработанного sqlmap

Привет, Codeby. Давным давно мне в руки попала версия sqlmap, который может все то, что и оригинальный sqlmap, только цель мы указываем в файле sites.txt( в wrapper_config.py можно изменить название файла ) и не одну. Допустим, если Вы арендуете сервак средней мощности, то за день WrapSqlmap может проверить около 3-4 тысяч сайтов. Я попытался найти автора программы, но так и не получилось( если кто знает автора передайте ему респект ). Также я знаю, что есть еще одна версия, где полностью переписано ядро. Ссылка на скачивание -

Итак, все самое главное находится в двух файлах wrapper_config.py и wrapper.py.

29271


В этом файле мы изменяем нужные нам параметры, допустим название файла с целями, указываем параметры для Sqlmap: RISK, LEVEL, потоки, прокси и прочее...

Я как человек, который любит писать все свое не удержался и решил немного доработать, хоть здесь и так все на высоте, я добавил всего то пару функций, первая это проверка файла с целями, она проверяет стоит ли перед доменом протокол( http, https ), если нет, то добавляет, также ищет и удаляет такие домены как facebook, microsoft и.т.п. Если вы не хотите, чтобы прога проверяла Ваш файл с целями, то в wrapper_config.py найдите параметр Check_List и поставьте значение False. Также я добавил слив по колонкам, то есть при запуске программы Вы указываете колонки, которые sqlmap должен слить. Пример:
Код:
python wrapper.py email,pass,ssn
Если Вы не укажете аргумент, то поиск колонок будет идти по умолчанию. Программа параллельно открывает кучу потоков и запускает sqlmap. Я специально не хочу все рассказывать об этой программе, так как натворить дел с помощью нее можно. Вот скриншот работы программы:

29272

Сайт на скриншоте был взят в качестве примера, никакого вреда причинено не было

Я думаю, что такую программу все-таки нужно разместить в открытый доступ, так как у многих с которыми я общался она уже есть. Я еще планирую ее доработать для себя, например сделать удаление дубликатов сразу при проверке файла с целями, хоть такая функция уже есть в оригинальном коде, я не знаю насколько хорошо она работает и возможно изменю параметры самой команды sqlmap.

P.S Если Вы найдете дампы, то они старого владельца, как и список с целями, которые уже неактуальны как и дампы.
 
Последнее редактирование:
В конфиге менял на sites и site также менял в папке название, версия конфига и название текстовика которые работали на линуксе на винде работать не хотят
Код:
  File "C:\wrap_sqlmap\wrapper.py", line 768, in <module>
    sites_dev()
  File "C:\wrap_sqlmap\wrapper.py", line 643, in sites_dev
    urls = open(wrapper_config.URLS_FILE).read().splitlines()
IOError: [Errno 2] No such file or directory: 'sites.txt'
 
Последнее редактирование:
В конфиге менял на sites и site также менял в папке название, версия конфига и название текстовика которые работали на линуксе на винде работать не хотят
Код:
  File "C:\wrap_sqlmap\wrapper.py", line 768, in <module>
    sites_dev()
  File "C:\wrap_sqlmap\wrapper.py", line 643, in sites_dev
    urls = open(wrapper_config.URLS_FILE).read().splitlines()
IOError: [Errno 2] No such file or directory: 'sites.txt'
Проблему решил, сам не знаю как
Из знающих, можете подсказать, как Вы настраиваете файл конфиг под массовый скан 4-10к линков?
 
В чём может быть проблема, при установки прокси на true, в конфиг вписываю юрл бетспроксей по ip, с выбором по стране и быстрым откликом прокси, по итогу все соединения идут с ошибкой
 
Привет, Codeby. Давным давно мне в руки попала версия sqlmap, который может все то, что и оригинальный sqlmap, только цель мы указываем в файле sites.txt( в wrapper_config.py можно изменить название файла ) и не одну. Допустим, если Вы арендуете сервак средней мощности, то за день WrapSqlmap может проверить около 3-4 тысяч сайтов. Я попытался найти автора программы, но так и не получилось( если кто знает автора передайте ему респект ). Также я знаю, что есть еще одна версия, где полностью переписано ядро. Ссылка на скачивание -

Итак, все самое главное находится в двух файлах wrapper_config.py и wrapper.py.

Посмотреть вложение 29271

В этом файле мы изменяем нужные нам параметры, допустим название файла с целями, указываем параметры для Sqlmap: RISK, LEVEL, потоки, прокси и прочее...

Я как человек, который любит писать все свое не удержался и решил немного доработать, хоть здесь и так все на высоте, я добавил всего то пару функций, первая это проверка файла с целями, она проверяет стоит ли перед доменом протокол( http, https ), если нет, то добавляет, также ищет и удаляет такие домены как facebook, microsoft и.т.п. Если вы не хотите, чтобы прога проверяла Ваш файл с целями, то в wrapper_config.py найдите параметр Check_List и поставьте значение False. Также я добавил слив по колонкам, то есть при запуске программы Вы указываете колонки, которые sqlmap должен слить. Пример:
Код:
python wrapper.py email,pass,ssn
Если Вы не укажете аргумент, то поиск колонок будет идти по умолчанию. Программа параллельно открывает кучу потоков и запускает sqlmap. Я специально не хочу все рассказывать об этой программе, так как натворить дел с помощью нее можно. Вот скриншот работы программы:

Посмотреть вложение 29272
Сайт на скриншоте был взят в качестве примера, никакого вреда причинено не было

Я думаю, что такую программу все-таки нужно разместить в открытый доступ, так как у многих с которыми я общался она уже есть. Я еще планирую ее доработать для себя, например сделать удаление дубликатов сразу при проверке файла с целями, хоть такая функция уже есть в оригинальном коде, я не знаю насколько хорошо она работает и возможно изменю параметры самой команды sqlmap.

P.S Если Вы найдете дампы, то они старого владельца, как и список с целями, которые уже неактуальны как и дампы.
Ничего нового?
 
При запуске wrapper вот такая error про отсутствие скобок, хотя прочитал топик такой ошибки не встретил
File "wrapper.py", line 51
print DUMP_SQLMAP_SAVE
^
SyntaxError: Missing parentheses in call to 'print'. Did you mean print(DUMP_SQLMAP_SAVE)?
 
При запуске wrapper вот такая error про отсутствие скобок, хотя прочитал топик такой ошибки не встретил
File "wrapper.py", line 51
print DUMP_SQLMAP_SAVE
^
SyntaxError: Missing parentheses in call to 'print'. Did you mean print(DUMP_SQLMAP_SAVE)?
Ты запускаешь с третьим питоном, но программа написана на втором.
 
Ты запускаешь с третьим питоном, но программа написана на втором.
Спасибо! пробывал по разному но ошибка
python2.7 wrapper.py
Traceback (most recent call last):
File "wrapper.py", line 23, in <module>
from brutecms import brutecont
File "/root/wrap/wrap_sqlmap/brutecms.py", line 2, in <module>
import requests
File "/root/wrap/wrap_sqlmap/requests/__init__.py", line 43, in <module>
import urllib3
File "/root/wrap/wrap_sqlmap/urllib3/__init__.py", line 8, in <module>
from .connectionpool import (
File "/root/wrap/wrap_sqlmap/urllib3/connectionpool.py", line 11, in <module>
from .exceptions import (
File "/root/wrap/wrap_sqlmap/urllib3/exceptions.py", line 2, in <module>
from .packages.six.moves.http_client import (
ImportError: No module named packages.six.moves.http_client

версия
python2.7 -V
Python 2.7.16
 
Спасибо! пробывал по разному но ошибка
python2.7 wrapper.py
Traceback (most recent call last):
File "wrapper.py", line 23, in <module>
from brutecms import brutecont
File "/root/wrap/wrap_sqlmap/brutecms.py", line 2, in <module>
import requests
File "/root/wrap/wrap_sqlmap/requests/__init__.py", line 43, in <module>
import urllib3
File "/root/wrap/wrap_sqlmap/urllib3/__init__.py", line 8, in <module>
from .connectionpool import (
File "/root/wrap/wrap_sqlmap/urllib3/connectionpool.py", line 11, in <module>
from .exceptions import (
File "/root/wrap/wrap_sqlmap/urllib3/exceptions.py", line 2, in <module>
from .packages.six.moves.http_client import (
ImportError: No module named packages.six.moves.http_client

версия
python2.7 -V
Python 2.7.16
Ругается, что нет такого модуля: No module named packages.six.moves.http_client
 
Ругается, что нет такого модуля: No module named packages.six.moves.http_client
Открой командную строку из адреса где у тебя лежит папка с софтом, после в командную строку перетащи exe шник питона , потом exe шник pip пропиши install six
 
archLinux
pip2 install six не помогло

Удалил папки requests и urllib3
установил
pip2 install urllib3
pip2 install requests
pip2 install six

версии
Python 2.7.16
pip2 -V
pip 19.0.3 from /usr/lib/python2.7/site-packages/pip (python 2.7)

Запускаю
python2.7 wrapper.py
Traceback (most recent call last):
File "wrapper.py", line 25, in <module>
from psutil import Process, TimeoutExpired
File "/root/wrap/wrap_sqlmap/psutil/__init__.py", line 68, in <module>
from . import _pslinux as _psplatform
File "/root/wrap/wrap_sqlmap/psutil/_pslinux.py", line 24, in <module>
from . import _psutil_linux as cext
ImportError: cannot import name _psutil_linux

Что еще установить, удалить, поправить?

Щас удалил еще
rm -R psutil
заного заинсталил
pip2 install psutil
Запустил
python2 wrapper.py

Ошибка нет файла c целями site.txt
Решил созданием файла site.txt или можно поменять имя в
wrapper_config.py
Заработало
 
Сейчас почти закончена разработка веб панели для врапер, сам скрипт улучшен, добавлены новые функции, такие как поиск админ панели, в скором времени будет и тестирование на проникновения в нее, сама панель предоставляет огромный выбор действий и различные варианты запуска врапера, также сделана функция поиск SQLi по доменам. Определение популярности сайта, страны, на чем написан сайт, есть ли cloudflare и уязвим ли к clickjacking. Также в панель встроен обычный sqlmap для поиска по одному сайту и еще несколько сканеров уязвимостей. Уже скоро релиз.
когда потестить можно будет?
 
когда потестить можно будет?
 
ребята подскажите в чем проблема?
 

Вложения

  • Screenshot_1.png
    Screenshot_1.png
    40,8 КБ · Просмотры: 296
Установи pip и только потом ставь модуль через него
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!