欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

很暴力的注入工具pangolin

程序员文章站 2022-06-28 09:54:44
文/图 人鱼姬 pangolin是近日发布的Windows下的自动化SQL注入渗透测试工具,实现了从检测到利用完成一体化的渗透攻击动作,尽可能的将SQL注入攻击效果最大化。它的全面的、综合的...
/ 人鱼姬
pangolin是近日发布的Windows下的自动化SQL注入渗透测试工具,实现了从检测到利用完成一体化的渗透攻击动作,尽可能的将SQL注入攻击效果最大化。它的全面的、综合的、傻瓜化、人性化的设计让人叹为观止。不知道domain、hdsi、nbsi、啊D等工具是不是要退出历史舞台了?
 
功能介绍
pangolin的界面很简洁,几乎支持所有的数据库,如MSSQL、MySQL、OracleSybaseDB2等。我们只需要输入注入点,pangolin就能迅速判断出数据库类型、库名、权限、用户等信息,如图1所示。
很暴力的注入工具pangolin
图1
找到注入点之后,自然就是猜解数据了,如图2所示。对于MSSQL数据库,pangolin还提供了执行命令以及恢复xp_cmdshell存储扩展等功能。利用注入点上传WebShell也是注入类工具的常用功能,pangolin同样具备;而要想利用注入点上传WebShell,当然需要知道网站的路径了,这就需要列目录功能,pangolin也同样提供了。如果服务器上有radmin,我们还可以尝试一下读出注册表里存放的密码密文来进行提权,如图3所示。
很暴力的注入工具pangolin
图2
很暴力的注入工具pangolin
图3
有趣的是,我们还可以利用pangolin通过注入点来下载并执行程序,不过,执行的权限只能是数据库连接用户的权限,如图4所示。当然,我们也可以利用已知的SQL密码来连接远程数据库,如图5所示。
很暴力的注入工具pangolin
图4
很暴力的注入工具pangolin
图5
对于pangolin来说,每种数据库类型都会有信息获取、数据获取两项基本功能。除此之外,还包括一些不同的数据库的特殊应用。如Mysql的读写文件操作;MSSQL的读写文件操作、注册表读取、系统命令执行;Oracle的密码破解、IP地址信息获取(即使是在内网通过防火墙映射的都可以);甚至还包括Access数据库的数据库文件路径、磁盘信息、根路径等这些比较偏的信息也能获取。由于pangolin支持的数据库以及功能众多,我不可能一一介绍,大家使用时自己细细体会吧。
 
相关设置
在pangolin里,我们不仅可以自定义HTTP头,点击“read cookie”还可以得到网站的Cookie,这样就能以登录用户的身份来注入了,或者修改这个Cookie以进行Cookie欺骗,如图6所示。
很暴力的注入工具pangolin
图6
通过自定义HTTP头,我们可以模拟各种常见浏览器,甚至还有搜索引擎的机器人,比如Google Bot、BaiduSpider、MSNBOT等,真有趣,黑客竟然被伪装成了会注入的搜索引擎机器人。
在高级设置中,我们可以尝试绕过一些会过滤某些敏感字符来防注入的系统,这是个很了不起的功能。更神奇的是,选择“auto analyzing keyword”还可以自动判断注入的关键字,后面我会详细介绍这个功能,如图7所示。为了方便我们对注入点进行管理,pangolin也提供了存储注入点的功能。
很暴力的注入工具pangolin
图7
 
自动分析关键字实战
我在网上随便找了个PHP网站,用普通工具是无法检测出注入点的,需要我们自行判断关键字,而用pangolin就完全没必要了。我随意填上了一个页面地址,点“check”,pangolin很快就分析出了关键字,得到了库名、操作系统等信息,如图8所示。
很暴力的注入工具pangolin
图8
当我们需要检测一个网站的时候,一定要点一下“reset”,否则上一个网站留下的设置会产生影响。最后需要说明的一个新鲜功能是,如果运气好的话,你还可能通过Access的注入点得到相关路径,如图9所示。
很暴力的注入工具pangolin
图9
总之,pangolin的功能非常强大,特点突出。首先是数据库全,基本上覆盖了目前所有的数据库类型;其次是速度快,应用了联合查询语句,在关闭了所有错误提示的情况下也能迅速获取数据,而绝不是一个字母一个字母的猜解。它具有独创的“关键字自动分析”技术,能够绕过某些输入过滤防火墙;具有独创的valide size判断技术,支持手动设置任何HTTP标题头,包括User-Agent以及Cookie等信息。
对于常用的数据库,pangolin提供的功能如表1所示,另外一些支持的数据库类型并未包含在表内,如DB2、Sybase、Informix和Sqlite。
 数据库类型
 目标信息获取
 其他
 MS SQL
服务器版本、服务器名称、数据库名称、当前用户、当前用户权限、数据库列表
执行系统命令、读取注册表、读文件、写文件、下载远程文件、导出数据到指定的数据库服务器
 Oracle
版本信息、IP地址、当前用户、当前会话权限、主机名、实例名称、用户账号信息、外部IP地址
 账号破解、注入提权(adding)
 Mysql
版本、GPC判断、数据库列表、临时目录、当前用户、操作系统信息、用户账号
 读文件、写文件
 Access
数据库路径、根目录、磁盘信息
 只能暴力
 PostgreSQL
版本信息、数据库、当前用户、当前会话用户、端口、数据路径、搜索路径
 读文件
表1
最后,需要注意的是,存放pangolin的路径若含有汉字的话,可能有时会出现错误。就目前来说,pangolin不仅仅只是黑客工具,它更是帮助网管检查服务器脆弱性的好帮手