BSQLinjector – SQL盲注工具

2018-06-0107:01:49 发表评论

BSQLinjector - SQL盲注工具

简介

BSQLinjector是一个用ruby编写的盲注SQL开发工具。

使用

  1. ruby ./BSQLinjector.rb --pattern=truestatement --file=/tmp/cesafe.txt --prepend="abcd'and'a'='b'+union+select+'truestatement'+from+table+where+col%3d'value'+and+substr(password," --append="'#" --ssl

参数

--file(强制),文件包含有效的HTTP请求和SQL注入点(SQLINJECT)。(--file=/tmp /req.txt)
--pattern(强制),当查询为true时,用于查找的模式。(--pattern= truestatement)
--prepend(强制),主要载荷。(--prepend=”abcd'and'a'='b'+union+select+' truestatement'+from+table+where+col% 3d'value'+and+substr(password,”
--append,如何结束我们的有效载荷。例如,注释掉剩下的SQL语句。(--append= '#
--2ndfile,文件包含有效的HTTP请求,用于二次利用。(--2ndfile=/tmp/2ndreq.txt)
--mode,使用盲模式(在-b(产生少量请求),更少-a(通过使用"<"、">"、"="字符产生更少请求),like -l(完全强制),equals –e(完全强制))。(--mode=l)
--hex,使用十六进制进行比较,而不是字符。
--case,大小写敏感。
--ssl,使用SSL。
--proxy,使用的代理。(--proxy=127.0.0.1:8080)
--test,开启测试模式。不发送请求,仅仅显示完整的有效载荷。
--comma,编码逗号。
--bracket,向substring函数末尾添加括号。--bracket=”))”
--schar,在字符周围放置的字符。在十六进制模式下不使用这个字符。(--schar=”’”)
--special,在枚举中包含所有的特殊字符。
--start,从特定的字符开始枚举。(--start=10)
--max,枚举的最大字符数量。(--max=10)
--timeout,等待响应的超时时间。(--timeout=20)
--verbose,显示详细信息。

下载

部分内容被隐藏
需登陆后可查看
CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!