• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья XPath - Автоматизация SQL-иньекций

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Всем привет, в этой статье я хочу ознакомить аудиторию форума с очередным довольно новым инструментом. Предназначен он для упрощения проведения атак с помощью SQL-инъекций.

XPath - Автоматизация SQL-иньекций


Называется он XPath.

Xpath – является SQL - инжектором написанном на python, который автоматизирует процесс обнаружения и использования ошибок на основе недостатков безопасности при внедрении инъекций. На данный момент поддерживаемой базой для Xpath является MySQL DB. Пожалуйста, обратите внимание, что этот проект является ранней версией. Возможно присутствие ошибок и неисправностей. Используйте его на свой страх и риск!

Требования:

· Python27

· requests

· colorama

Вот ссылка на страницу автора на Github.

>

Установим XPath себе, на Kali Linux 2016.2:

> git clone

> cd Xpath

> chmod +x xpath.py

XPath - Автоматизация SQL-иньекций


Затем запустим:

> python2 xpath.py

XPath - Автоматизация SQL-иньекций


Вот главные опции, для использования программы:

XPath - Автоматизация SQL-иньекций


Пример использования, перед этим убедитесь, что база данных именно MySQL. Ко всему прочему, можно использовать ТОР.

XPath - Автоматизация SQL-иньекций


На этом все. Спасибо за внимание.
 
  • Нравится
Реакции: The Codeby и z3RoTooL
Black Diver

Black Diver

Happy New Year
24.01.2017
35
56
Оно странно похоже на SQLmap... Очередной Болженос?
 
S

Sniff

SQLmap, на мой взгляд, удобнее и четко отработал по уязвимой цели - для сравнения запускался, тогда как XPath на комбинацию разных запросов, что то одно и то же выдаёт, как на Вашем последнем скрине. Уж не знаю, в чем дело, то ли у меня руки кривые, то ли утилита не доработана автором.
 
s1rk0

s1rk0

Well-known member
21.03.2017
326
369
По-моему SQL инъекции уже не актуальны.
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 515
3 353
По-моему SQL инъекции уже не актуальны.
Не соглашусь - они будут актыальны долгое время, особенно при установке пакетнх решений из коробки, такими пользуются небольшие компании или фирмы по созданию веб-решений (не дорогих). даже в серьезных проектах реально найти sql, но уже головой =). По интсрументу в данном топе: был тест, отличие от SQLMAP - скорость работы, но при этом теряется качество.
 
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 156
3 392
Не соглашусь - они будут актыальны долгое время, особенно при установке пакетнх решений из коробки, такими пользуются небольшие компании или фирмы по созданию веб-решений (не дорогих). даже в серьезных проектах реально найти sql,
В точку сказано , более скажу , подводит блатное устройство на работу своих ,не особо стремящихся вникать в работу,что очень распространено , отсюда свои косяки. Межсайтовый скриптинг-сюда же. Недавно брал Debian по Шелл-Шок и скриптингу. Урон не нанесён принципиально .Результат - из-за уважения к Linux письмо доброго анонима с одноразовой почты админу-думаете что -то поменялось? ))
 
  • Нравится
Реакции: ghostphisher
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 515
3 353
письмо доброго анонима с одноразовой почты админу-думаете что -то поменялось? ))
...наверное на одном из тематических форумов появился ТОП с текстом письма и большим знаком вопроса =)

Сама технология реализации веб ресурсов не позовляет пока отказаться от таких решений как есть, а пока эти решения остаются, то и руки кривые будут с ними работать. Вообщем живо все, искать лучше надо =)
 
  • Нравится
Реакции: Dat Sec
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 156
3 392
...наверное на одном из тематических форумов появился ТОП с текстом письма и большим знаком вопроса =)
Хорошо если так , а может и так быть: " Web- ресурс работает , всё на месте , сбоев никаких , ну и ...шутка скорее всего чья-то из знакомых "
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб