quarta-feira, 13 de março de 2013

SQL Injection. SQL Ninja.



 

O SQL Ninja é uma ferramenta open source que tem como objetivo explorar vulnerabilidades em aplicações WEB que utilizam Microsoft SQL Server como base de dados.

Entre diversas outras ferramentas de SQL o SQL Ninja ao invés de apenas extrair os dados, foca em disponibilizar prompts de remotos de acesso ao servidor de banco de dados atacados.

O SQL Ninja possui suporte apenas para um tipo de banco de dados, que é o Microsoft SQL SERver 2000/2005.

É compatível com sistemas operacionais GNU/Linux, Free BSD e Mac OS X e por ser uma ferramenta open source é distribuída sem custo.

Outra característica é que o SQL Ninja é executado somente em linhas de comando, pois foi desenvolvido para sistemas operacionais GNU/Linux, Free BSD e Mac OS X. Devido a isso, a ferramenta exige um maior nível de conhecimento para execução, comparado as outras ferramentas já citadas (HAVIJ e SQL Map).

Abaixo veremos um exemplo de utilização do SQL Ninja
 

Aqui verificamos os parâmetros disponíveis antes de iniciar o ataque.
 
 

Carregando os módulos com o parâmetro –m.

 
Verificando a página vulnerável.


 

Podemos utilizar a técnica de bypass para burlar IDS/IPS/Firewall.

 

Utilizando o parâmetro de fingerprint.


Com o parâmetro bruteforce.



Obrigado a todos e fiquem a vontade para mandar sugestões, elogios e criticas.

Grande abraço!!!
 

Um comentário: