Web安全：SQL注入工具

SQL注入工具主要是针对Web服务器后台数据库的注入，其主要目的是获取数据库中的数据。以前常用的SQL注入工具有啊D注入工具及Domain（明小子注入工具），现在常用的SQL注入工具有HackBar、SQLMap 、Pangolin、Havij、Safe3 SQL injector及超级SQL注入 工具等。

1、HackBar

HackBar是专门用来进行手动安全测试的浏览器插件（例如手动测试SQL注入漏洞），如图1所示。

图1 HackBar

下载HackBar插件链接：https://github.com/ox01024/hackbar_crack

2、SQLMap

sqlmap 是一个SQL注入 的工具，类似于啊D注入工具及Pangolin注入工具。在ASP网站盛行的年代，一般是用啊D注入工具实现SQL注入 ；在PHP网站盛行的年代，一般是用Pangolin注入工具实现SQL注入 ；在JSP盛行的年代，sqlmap 流行起来，直接统一了SQL注入 工具。sqlmap 可以做其他所有SQL注入 工具能做的事，甚至做得更好。这便是sqlmap 流行起来的原因。啊D注入工具及Pangolin注入工具都是适合Windows系统的SQL注入 工具，而sqlmap 不仅支持Windows系统，还支持Linux系统。sqlmap 不仅有Windows的窗口式注入，也有cmd（或者shell）的命令式注入。sqlmap 还支持自写扩展（例如自写SQL注入 payload等）。sqlmap 如图2所示。

图2 sqlmap

3、Pangolin

Pangolin是一个在PHP盛行的年代十分流行的SQL注入工具。相对于啊D注入工具而言，Pangolin注入工具对PHP的支持非常好。Pangolin的中文意思是“穿山甲”，穿山甲为何物？穿山甲是一种能够穿山打洞的生物！SQL注入的本质就是“穿山打洞”！Pangolin如图3所示。

图3 Pangolin

4、Havij

Havij是一个SQL注入工具，与Pangolin类似。Havij与其他的SQL注入工具的差异在于其强大的SQL注入方式。使用Havij攻击脆弱应用的成功率不低于百分之九十。Havij的图形界面非常美观，如图4所示。

图4 Havij

5、Safe3 SQL injector

Safe3 SQL injector也是一个SQL注入工具，它与Pangolin类似。Safe3 SQL injector是最强大也是最容易使用的渗透测试工具之一，它可以自动检测与利用SQL注入漏洞并接管数据库服务器，如图5所示。

图5 Safe3 SQL injector

6、超级SQL注入工具

超级SQL注入工具是一款基于HTTP自组包的SQL注入工具，它支持出现在HTTP任意位置的SQL注入，支持各种类型的SQL注入，支持HTTPS模式注入。超级SQL注入工具目前支持bool型盲注、错误显示注入及union注入，支持Access、MySQL、Mssql及Oracle等数据库的注入，适合在渗透测试实战时使用。超级SQL注入工具如图6所示。

图6 超级SQL注入工具

7、啊D注入工具

啊D注入工具是一款针对ASP及Access较好的SQL注入工具。在过去黑客工具稀有的年代，啊D注入工具有着十分重要的地位，其流行程度相当于现在的sqlmap，啊D注入工具如图7所示。