SQLmap最新版本1.0.5.20#dev
sqlmap作为SQL注入的神器,1.0版本已经过去很久了,官方终于做了更新,最新版本如下:
_
_ _| |___ _ _ {1.0.5.20#dev}
|_ -| . | | | .’| . |
|| |||||,| _|
|| || http://sqlmap.org
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual
consent is illegal. It is the end user’s responsibility to obey all applicable
local, state and federal laws. Developers assume no liability and are not respon
sible for any misuse or damage caused by this program
下载地址:
http://sqlmap.org/
新特性:
1、完全支持MySQL,Oracle,PostgreSQL,SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase,SAP MaxDB和HSQLDB数据库管理系统全面支持。
2、完全支持六种SQL注入技术:基于布尔盲,基于时间的盲目,基于错误的,基于查询UNION,堆查询和带外查询。
3、支持直接连接到数据库,而通过SQL注入,通过提供DBMS凭据,IP地址,端口和数据库名称。
4、支持枚举用户,密码哈希,权限,角色,数据库表和列。
5、自动识别的密码哈希格式,使用基于字典的攻击破解。
6、支持转储数据库表完全是,某个范围的条目或特定列按照用户的选择。用户还可以选择转储只有一个范围从每列的条目的字符。
7、支持搜索特定的数据库名称,具体的表格在所有数据库或特定的列在所有数据库“表。例如,找出包含自定义应用程序凭据在相关栏目的名字包含字符串,如姓名和合格表。
8、支持下载和从数据库服务器上传任何文件文件系统底层当数据库软件MySQL和PostgreSQL或Microsoft SQL Server。
9、支持执行任意指令和检索底层当数据库软件MySQL和PostgreSQL或Microsoft SQL Server操作系统的数据库服务器上的标准输出。
10、支持建立攻击机和数据库服务器底层操作系统之间建立带外状态TCP连接。该通道可以是一个交互式的命令提示符下,一个Meterpreter就会会话或图形用户界面(VNC)会话根据用户的选择。
11、支持通过Metasploit工具的Meterpreter就会getsystem命令数据库进程“用户权限提升。
请参考维基的功能。
https://github.com/sqlmapproject/sqlmap/wiki/Features