BSQL Hacker Beta, Testerlar Aranıyor
Okuyucu : 3.159
Günlük Okuyucu : 12
Aşağıda OWASP-TR listesine gönderdiğim mail var, burada da yayınlamak istiyorum. Uygulamanın ekran görüntülerini de serpiştirdim, detaylarını görebilirsiniz.
Cok uzun zaman once basladigim ancak yakin donemde tekrar yazmaya basladigim bir Blind SQL Injection programi var. Ilk beta verisyonunu yayinladim. Henuz beta bile denemez belki ama en azindan calisiyor.
Dokumantasyon cok zayif henuz, uzerinde calisiyorum.
Lisans GPL, stable versiyon insallah 1-2 ay icerisinde yayinlanacak.
Program ozetle Blind SQL Injection lari otomatik olarak exploit etmek icin gelistirildi. Hemen hemen her durumda her sekilde SQL Injection' i her database den alma amaci ile yazdim. Ancak bu esnekligin bedeli programi konfigure etmek biraz zor. Ben cok uzun suredir kendi testlerimde kullaniyorum. Diger SQL Injection araclarinda olmayan bir cok gelismis ozellige sahip mesela Nonce lari kullanabilme ( degisken viewstateler gibi rasgele deger kullanan formlari exploit ederken).
Konsol ve GUI olarak iki farkli uygulama var GUI de her ozellik yokken konsolda da GUI deki her ozellik yok. Sonucta ikiside hemen hemen tum ozelliklere sahip olacak. GUI "otomatik injection" modunda calisabiliyor. Bu modda injection a basladiktan sonra eger DB yapisi destekleniyorsa ( su an sadece SQL Server modulu calisiyor) tum db semasi ve kayitlar otomatik olarak cekiliyor.
Genis ve bir o kadar karisik / guncellenmemis ve zaman zaman yanlis olan bir dokumantasyon var. Konsol versiyonu kullanacaksaniz ozellikle kesinlikle bunu kontrol edin. Ek olarak parametrelerden de uygulamanin neleri destekledigini gorebilirsiniz.
http://ferruh.mavituna.com/makale/bsql-hacker-console-manual/
Sadece Uygulama :
http://ferruh.mavituna.com/opensource/BSQLHacker_v09_Binary.zip
.NET Framework 3.5 gerekebilir ama .NET Framework 2.0 ile de calismasi gerekiyor
Kaynak Kodu :
http://ferruh.mavituna.com/opensource/BSQLHacker_v09_Source.zip
Kullananlar olursa her turlu yorum, oneri, hata bildirilerine bekliyorum. Dedigim gibi tum yazilimi tamamen test amacli kabul edebilirsin, ilginc hatalarla karsilasilabilirsiniz ya da bazi GUI formlarinin henuz calismadigini gorebilirsiniz.
Kullanim Ornegi (Klasik bir SQL Injection icin)
http://localhost/sqlserver/?p=1 AND ISNULL(ASCII(SUBSTRING(( {INJECTION}),{POSITION},1)),0){OPERATION}{CHAR}--
Kalin olan yazilar dinamik degiskenler, sadece {INJECTION} "Automated Attack" kullanilcaksa kullaniliyor. Aksi takdirde buraya kendiniz herhangi bir SQL query koyabilirsiniz. Bu Query sadece bir kayit dondurmek zorunda. Bu ornek SQL Server icin ama ne yapmaniz normalde biliyorsaniz basitce ORACLE, PostgreSQL, MySQL vs. icinde benzer kodlar yazabilirsiniz. Ben MySQL, ORACLE ve SQL Server da cesitli testler yaptim. Ek olarak MySQL Benchmark ve SQL Server WAITFOR DELAY tarzi full blind' lari destekliyor.
Bu dinamik degiskenler ana adreste Request & Injection tabi altindaki heryerde kullanilabilir. Dolayisiyla GET, POST, HTTP HEADERS ve Cookie lerde injection yapabilirsiniz.
Tesekkurler,
Yorumlar
Yorum Ekle
BSQL Hacker Beta, Testerlar Aranıyor ile İlişkili Olabilecek Yazılar - Haberler
SQL Tunnelling - Exploiting Internal Networks via SQL InjectionTürkçe SQL Injection Referansı
Rootkit Piyasada!
Post Build Event
SQL Injection SubSelects and IF Statements
Diğer Yazılar
BSQL Hacker Console Manual
BSQL Hacker v0.9 Beta Release
BSQL Hacker Wizard Demo Video
BSQL ve SQL Injection Haberleri
Bu
Bu insanların sorunu ne?
Bu mu ?
Budur, 10 Yılda Programlama Öğrenin
Buffer Overflow Attacks
Bulk Syngress payback
Bunları Yazacaktım ama..
butterflies are having love in my stomach
Büyük dosyalar, E-mail ve Attachment
Büyük Dosyaları Kullanma
Büyükşehir Çalışıyor
C Öğrenmek için 10 neden, Emm 1 neden
C Yazmanın dayanılmaz hafifliği
C# mı yoksa VB.NET mi ?
C++ Debugging ve Trace
Neredeyim ?
Ferruh.Mavituna » Haberler » BSQL Hacker Beta, Testerlar Aranıyor