BSQL Hacker Beta, Testerlar Aranıyor

27-8-2007

Running Aşağıda OWASP-TR listesine gönderdiğim mail var, burada da yayınlamak istiyorum. Uygulamanın ekran görüntülerini de serpiştirdim, detaylarını görebilirsiniz.

Cok uzun zaman once basladigim ancak yakin donemde tekrar yazmaya basladigim bir Blind SQL Injection programi var. Ilk beta verisyonunu yayinladim. Henuz beta bile denemez belki ama en azindan calisiyor.

Dokumantasyon cok zayif henuz, uzerinde calisiyorum.

Lisans GPL, stable versiyon insallah 1-2 ay icerisinde yayinlanacak.

Program ozetle Blind SQL Injection lari otomatik olarak exploit etmek icin gelistirildi. Hemen hemen her durumda her sekilde SQL Injection' i her database den alma amaci ile yazdim. Ancak bu esnekligin bedeli programi konfigure etmek biraz zor. Ben cok uzun suredir kendi testlerimde kullaniyorum. Diger SQL Injection araclarinda olmayan bir cok gelismis ozellige sahip mesela Nonce lari kullanabilme ( degisken viewstateler gibi rasgele deger kullanan formlari exploit ederken).

Database ExtractedKonsol ve GUI olarak iki farkli uygulama var GUI de her ozellik yokken konsolda da GUI deki her ozellik yok. Sonucta ikiside hemen hemen tum ozelliklere sahip olacak. GUI "otomatik injection" modunda calisabiliyor. Bu modda injection a basladiktan sonra eger DB yapisi destekleniyorsa ( su an sadece SQL Server modulu calisiyor) tum db semasi ve kayitlar otomatik olarak cekiliyor.

Genis ve bir o kadar karisik / guncellenmemis ve zaman zaman yanlis olan bir dokumantasyon var. Konsol versiyonu kullanacaksaniz ozellikle kesinlikle bunu kontrol edin. Ek olarak parametrelerden de uygulamanin neleri destekledigini gorebilirsiniz.
http://ferruh.mavituna.com/makale/bsql-hacker-console-manual/

Sadece Uygulama :
http://ferruh.mavituna.com/opensource/BSQLHacker_v09_Binary.zip
.NET Framework 3.5 gerekebilir ama .NET Framework 2.0 ile de calismasi gerekiyor

Kaynak Kodu :
http://ferruh.mavituna.com/opensource/BSQLHacker_v09_Source.zip
Kullananlar olursa her turlu yorum, oneri, hata bildirilerine bekliyorum. Dedigim gibi tum yazilimi tamamen test amacli kabul edebilirsin, ilginc hatalarla karsilasilabilirsiniz ya da bazi GUI formlarinin henuz calismadigini gorebilirsiniz.

Kullanim Ornegi (Klasik bir SQL Injection icin)

http://localhost/sqlserver/?p=1 AND ISNULL(ASCII(SUBSTRING(( {INJECTION}),{POSITION},1)),0){OPERATION}{CHAR}--

Kalin olan yazilar dinamik degiskenler, sadece {INJECTION}  "Automated Attack" kullanilcaksa kullaniliyor. Aksi takdirde buraya kendiniz herhangi bir SQL query koyabilirsiniz. Bu Query sadece bir kayit dondurmek zorunda. Bu ornek SQL Server icin ama ne yapmaniz normalde biliyorsaniz basitce ORACLE, PostgreSQL, MySQL vs. icinde benzer kodlar yazabilirsiniz. Ben MySQL, ORACLE ve SQL Server da cesitli testler yaptim. Ek olarak MySQL Benchmark ve SQL Server WAITFOR DELAY tarzi full blind' lari destekliyor.

Bu dinamik degiskenler ana adreste Request & Injection  tabi altindaki heryerde kullanilabilir. Dolayisiyla GET, POST, HTTP HEADERS ve Cookie lerde injection yapabilirsiniz.

 

Tesekkurler,

Recent Blog Posts

See all of the blog posts