SQL盲注的框架——BBQSQL

最新推荐文章于 2023-08-31 14:06:43 发布
最新推荐文章于 2023-08-31 14:06:43 发布
阅读量892 收藏
点赞数

这个图形不要输吧?! 我感觉会吐血的!!


----------------------------------------------------

BBQSQL是一种用Pyhthon写的SQL盲注框架。当发动狡猾的SQL注入漏洞攻击时,它将非常有用。BBQSQL也是半自动工具,允许许多难以触发的SQL注入变得用户化。该工具是与数据库无关的,其用法非常灵活。它也自带一个直观的UI用户界面,使设置攻击更容易。Python Gevent也很给力,使BBQSQL非常快速。

 

SQL盲注的框架——BBQSQL


SQL盲注可能很难被利用。作为可用工具它们很高效,但当要写一些自定义的东西时它们则很难搞定了。这耗时又繁琐的。BBQSQL可以解决以下问题:

特征

注意,BBQSQL最重要的是它不关心数据或数据库,而大多数SQL注入工具是要具体的数据库或语言建立的。

  • 利用SQL盲注漏洞

  • 半自动

  • 与数据库无关

  • 多功能

  • 利用两种搜索技术(二元搜索和按频次搜索)

  • 并发的HTTP请求

  • 配置导入/导出

  • 自定义的Hooks

  • 高速

使用

类似于其他的SQL注入工具,必须为它的运作提供一定的请求信息。BBQSQL如下:

  • URL

  • HTTP方法

  • 标题

  • Cookies

  • 编码方法

  • 重定向方式

  • 文件夹

  • HTTP认证

  • 代理

指定注入的位置和语法:

SQL盲注的框架——BBQSQL


HTTP参数

BBQSQL有许多HTTP参数配置时,便可以设置攻击。至少你必须提供想要注入发生的UR和方法。可以设置以下选项:

  • 文件夹

  • 标题

  • Cookies

  • URL

  • 允许重新使用

  • 代理

  • 数据

  • 方法

  • 认证

使用模板   ${injection}. }  来插入SQL注入查询的位置。如果没有注入模板,工具将不知道从何下手,插入SQL注入。



 

文由漏洞银行(BUGBANK.cn)小编  Feya 编译,源文译自 darknet.org.uk。



作者:Feya
链接:http://www.bugbank.cn/news/detail/57de5128e75c16e272c44276.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
SAKAISON
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
07-09
结合手工注入编写一个SQL盲注脚本——以SQLi-Labs less16为例.doc
ubuntu16.04安装BBQSQL
qq_37361999的博客
05-19 250
1、需要使用python2来安装,ubuntu开始的时候,python版本应该就是2.7的 python -V #python2 的版本 python3 -V #python3 的版本 2、安装setuptools wget --no-check-certificate https://bootstrap.pypa.io/ez_setup.py sudo python ez_setup.py --insecure 3、安装python2对应的pip的版本 我把pip8.1,pip9.0.1,
最受欢迎的十款SQL注入工具
2301_79205724的博客
08-31 1145
SQL是一种解释型语言。如果 Web 应用程序建立 SQL 语句的方法不安全,就很可能会受到 SQL 注入攻击。严重时,攻击者可利用该方法修改数据库里的所有信息,甚至控制运行数据库的服务器。因此Web应用程序很容易因为SQL注入而被入侵。所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令的目的。
bbqsql安装使用踩坑总结
davidemiya的博客
02-07 910
bbqsql是一个知名的盲注SQL开源工具,可以用来做一些简单传统的sql注入的渗透测试或者靶场模拟等,但是由于其版本较老,使用的还是python2,且很多库都是很旧的,接近9年多没有维护更新,因此如果想要直接使用,一般都是搭建使用默认python2环境的linux系统来使用,但是在安装使用时还是会碰到一些坑,踩过之后在此总结填平。 系统环境: 使用的是kali-linux-2020.4-installer-amd64.iso,相对较新,但仍使用python2作为默认python,后续的环境版本暂.
python编写的sql盲注
10-28
python编写的sql盲注
多线程+二分法的巧用——通达OA SQL盲注1
08-03
声明由于传播、利此所提供的信息造成的任何直接或者间接的后果及损失,均由使者本负责,雷神众测以及章作者不为此承担任何责任。雷神众测拥有对此章的修改和解释权。如欲转
布尔盲注.py_sql盲注python_
10-03
一个简单的sql注入盲注的python脚本,其中语句需要根据环境条件做改变
SQL盲注攻击的简单介绍
12-14
Stephen Kost[3]给出了这种攻击形式的另一个特征,“从一个数据库获得未经授权的访问和直接检索”,SQL注入攻击其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程过程中的漏洞,“当攻击者能够操作...
SQL盲注利用工具
11-15
使用Ruby语言编写的一款SQL盲注利用工具,它使用盲注方法从SQL数据库中检索数据
bbq
03-10
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) 部署说明 ...
Python-BBQSQLSQL注入开发工具
08-10
BBQSQLSQL注入开发工具
bbq-js:一个模仿Angular的轻量级JS框架
06-19
烧烤 - 迷你角 BBQ 是在学术禁止使用 Angular 的情况下创建的。 所以我做了这个轻量级的框架来模仿最有用的部分。 我在这里发布它并不是因为我相信您应该在生产中使用它,而是为了表明 Angular 不是魔术——即使是本科生也可以创建一个简单的 MVC Web 框架
Sql运行工具
09-16
这个工具基于MySQL运行工具,解压后有文本为Key为密钥
SQL注入-盲注(布尔盲注与时间盲注
热门推荐
LJH1999ZN的博客
02-10 1万+
一、什么是盲注 盲注就是在sql注入过程中,sql语句执行select之后,可能由于网站代码的限制或者apache等解析器配置了不回显数据,造成在select数据之后不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个判断的过程称之为盲注。 通俗的讲就是在前端页面没有显示位,不能返回sql语句执行错误的信息,输入正确和错误返回的信息都是一致的,这时候我们就需要使用页面的正常与不正常显示来进行sql注入。 二、盲注的分类 基于布尔类型的盲注 基于时间类型的盲注 三、利用盲注
盲注
weixin_53026460的博客
10-24 2871
盲注属于SQL注入的一种,SQL注入可以通过不同的类别来分类,比如按照传参方式分类SQL注入:GET、POST、HEAD(COOKIE),根据做法的不同,我们也可以把这些分类为盲注、报错注入和显错注入;盲注是什么?(一)布尔盲注布尔是一种类型,核心是在于判断正确与否。布尔就是指这个页面有回显,但是不会显示具体内容,只会显示语句是否正常执行;举个例子,这是一条存在sql注入的语句;在这里输入and 1=1;会发现页面显示有数据;将and 1=1修改为and 1=1;
SQL盲注工具BBQSQL
04-11 258
SQL盲注工具BBQSQL SQL注入是将SQL命令插入到表单、域名或者页面请求的内容中。在进行注入的时候,渗透测试人员可以根据网站反馈的信息,判断注入操作的结果,以决定后续操作。如果网站不反馈具...
bbqsql运行不了解决方案(原创)
hackerie的博客
10-25 920
认识kali工具的时候,看到了bbqsql。据说是烤肉barbecue的意思。看图片(icon)也确实像。本着吃货的第一要义,当然先从这里入手。 具体怎么用还不会。但是,点击图标的时候,尴尬的一幕发生了: 上图报错显示找不到#扣肉#(coros)这个好吃的了。于是从网上找啊找,找啊找,我的×扣肉×在哪里? 遍历gevent所有文件,也没有扣肉。 没图我说个j8 这不行,这会儿正饿着肚子呢,
SQL注入与SQL盲注的区别
最新发布
04-07
SQL注入和SQL盲注都是常见的安全漏洞,但它们有一些区别。 SQL注入是指攻击者通过在用户输入的数据中插入恶意的SQL代码,从而绕过应用程序的输入验证,进而执行非授权的数据库操作。攻击者可以通过SQL注入获取、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值