O SQL Ninja é uma ferramenta open source que tem como objetivo
explorar vulnerabilidades em aplicações WEB que utilizam Microsoft SQL Server
como base de dados.
Entre diversas outras ferramentas de SQL o
SQL Ninja ao invés de apenas extrair os dados, foca em disponibilizar prompts de remotos de acesso ao servidor
de banco de dados atacados.
O SQL Ninja possui suporte apenas para um
tipo de banco de dados, que é o Microsoft SQL SERver 2000/2005.
É compatível com sistemas operacionais GNU/Linux,
Free BSD e Mac OS X e por ser uma ferramenta open source é distribuída sem
custo.
Outra característica é que o SQL Ninja é
executado somente em linhas de comando, pois foi desenvolvido para sistemas
operacionais GNU/Linux, Free BSD e Mac OS X. Devido a isso, a ferramenta exige
um maior nível de conhecimento para execução, comparado as outras ferramentas
já citadas (HAVIJ e SQL Map).
Abaixo veremos um exemplo de utilização do
SQL Ninja
Aqui
verificamos os parâmetros disponíveis antes de iniciar o ataque.
Carregando
os módulos com o parâmetro –m.
Verificando a página vulnerável.
Podemos
utilizar a técnica de bypass para
burlar IDS/IPS/Firewall.
Utilizando
o parâmetro de fingerprint.
Com o
parâmetro bruteforce.
Grande abraço!!!
Bom artigo.
ResponderExcluir