Статья XPath - Автоматизация SQL-иньекций

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 454
4 299
Всем привет, в этой статье я хочу ознакомить аудиторию форума с очередным довольно новым инструментом. Предназначен он для упрощения проведения атак с помощью SQL-инъекций.

upload_2017-3-3_23-30-35.png


Называется он XPath.

Xpath – является SQL - инжектором написанном на python, который автоматизирует процесс обнаружения и использования ошибок на основе недостатков безопасности при внедрении инъекций. На данный момент поддерживаемой базой для Xpath является MySQL DB. Пожалуйста, обратите внимание, что этот проект является ранней версией. Возможно присутствие ошибок и неисправностей. Используйте его на свой страх и риск!

Требования:

· Python27

· requests

· colorama

Вот ссылка на страницу автора на Github.

>

Установим XPath себе, на Kali Linux 2016.2:

> git clone

> cd Xpath

> chmod +x xpath.py

upload_2017-3-3_23-31-12.png


Затем запустим:

> python2 xpath.py

upload_2017-3-3_23-31-30.png


Вот главные опции, для использования программы:

upload_2017-3-3_23-31-51.png


Пример использования, перед этим убедитесь, что база данных именно MySQL. Ко всему прочему, можно использовать ТОР.

upload_2017-3-3_23-32-7.png


На этом все. Спасибо за внимание.
 
  • Нравится
Реакции: The Codeby и z3RoTooL
Black Diver

Black Diver

Active member
24.01.2017
35
57
Оно странно похоже на SQLmap... Очередной Болженос?
 
S

Sniff

SQLmap, на мой взгляд, удобнее и четко отработал по уязвимой цели - для сравнения запускался, тогда как XPath на комбинацию разных запросов, что то одно и то же выдаёт, как на Вашем последнем скрине. Уж не знаю, в чем дело, то ли у меня руки кривые, то ли утилита не доработана автором.
 
s1rk0

s1rk0

Well-known member
21.03.2017
326
371
По-моему SQL инъекции уже не актуальны.
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 527
3 367
По-моему SQL инъекции уже не актуальны.
Не соглашусь - они будут актыальны долгое время, особенно при установке пакетнх решений из коробки, такими пользуются небольшие компании или фирмы по созданию веб-решений (не дорогих). даже в серьезных проектах реально найти sql, но уже головой =). По интсрументу в данном топе: был тест, отличие от SQLMAP - скорость работы, но при этом теряется качество.
 
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 172
3 467
Не соглашусь - они будут актыальны долгое время, особенно при установке пакетнх решений из коробки, такими пользуются небольшие компании или фирмы по созданию веб-решений (не дорогих). даже в серьезных проектах реально найти sql,
В точку сказано , более скажу , подводит блатное устройство на работу своих ,не особо стремящихся вникать в работу,что очень распространено , отсюда свои косяки. Межсайтовый скриптинг-сюда же. Недавно брал Debian по Шелл-Шок и скриптингу. Урон не нанесён принципиально .Результат - из-за уважения к Linux письмо доброго анонима с одноразовой почты админу-думаете что -то поменялось? ))
 
  • Нравится
Реакции: ghostphisher
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 527
3 367
письмо доброго анонима с одноразовой почты админу-думаете что -то поменялось? ))
...наверное на одном из тематических форумов появился ТОП с текстом письма и большим знаком вопроса =)

Сама технология реализации веб ресурсов не позовляет пока отказаться от таких решений как есть, а пока эти решения остаются, то и руки кривые будут с ними работать. Вообщем живо все, искать лучше надо =)
 
  • Нравится
Реакции: Dat Sec
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 172
3 467
...наверное на одном из тематических форумов появился ТОП с текстом письма и большим знаком вопроса =)
Хорошо если так , а может и так быть: " Web- ресурс работает , всё на месте , сбоев никаких , ну и ...шутка скорее всего чья-то из знакомых "
 
Мы в соцсетях: