jSQL Injection 自动化SQL注入工具

jSQL Injection 自动化SQL注入工具

黑客工具

jSQL Injection简介

jSQL Injection是一个轻量级应用程序,用于从服务器查找数据库信息。

它是免费的开源的跨平台的,适用于 Windows、Linux 和 Mac,并且可以与 Java 11 到 20 版本兼容。

jSQL Injection 也是官方渗透测试发行版Kali Linux的一部分,并且包含在其他各种发行版中,如BlackbuntuPentest BoxParrot Security OSArchStrikeBlackArch Linux

jSQL特色

💉jSQL提供一系列功能,如数据库注入、管理页面搜索和哈希暴力破解。使用右侧菜单可以更详细地了解所有功能。

以下是描述:

  • 自动注入33个数据库引擎:
Access
Altibase
C-treeACE
CockroachDB
CUBRID
DB2
Derby
Exasol
Firebird
FrontBase
H2
Hana
HSQLDB
Informix
Ingres
InterSystems-IRIS
MaxDB
Mckoi
MemSQL
MimerSQL
MonetDB
MySQL
Neo4j
Netezza
NuoDB
Oracle
PostgreSQL
Presto
SQLite
SQL Server
Sybase
Teradata
Vertica
  • 多种注入策略:
Normal
Stacked
Error
Multibit
Blind
Time
  • 并行按位布尔盲选和时间策略
  • 各种注塑工艺:
Default
Zip
Dios
  • 数据库指纹:基本错误、Order By错误、布尔单查询
  • 沙箱绕过脚本SQL tampering
  • 批量注入
  • 使用注入来读写文件
  • 创建和Web shell显示SQL shell
  • 暴力破解密码hash
  • 搜索admin页面
  • 对文本进行编码、解码和哈希处理
  • 列出 CTF、实验室、房间和挑战
  • 使用 Basic、Digest、NTLM 和 Kerberos 进行身份验证
  • 支持使用 HTTP、SOCKS4 和 SOCKS5 的代理连接

描述及截图

大多数主要实用程序适用于您在地址栏中设置的目标。

其他实用程序类似Brute force并且Encoding不需要任何目标。

Database— 注入

jSQL Injection 自动化SQL注入工具

注入目标以获取数据库、表、列和行。

  • 流程从验证目标开始,然后从左侧树视图中Right click选择Load表格
  • 行加载在右侧的选项卡中,可以进行排序、搜索和导出

您也可以在地址栏中手动选择引擎和策略,或者让其💉jSQL自动识别最佳引擎和策略。

Admin page– 管理页面扫描

jSQL Injection 自动化SQL注入工具

使用左侧的列表扫描目标以查找现有的管理页面。

当检测到 HTTP 响应时,页面会在右侧的选项卡中加载。

Read file— 文件读取

jSQL Injection 自动化SQL注入工具

当当前用户被授予足够的权限时,数据库引擎可以读取目标上的文件系统,在这种情况下可以通过注入来读取文件。

首先在目标上开始注入,然后在左侧选择文件路径,当文件存在时,它会在右侧的选项卡中打开。

Web shell— 注入webshell

jSQL Injection 自动化SQL注入工具

访问 shell 即可授予目标上的系统执行权限,但前提是:

  • 数据库引擎可以将 shell 写入文件系统
  • shell 可通过 Web 服务器访问
  • shell 由 PHP 服务器解释

开始在目标上注入,然后在左侧选择 shell 位置,右侧会打开一个控制台,系统命令可以在目标上运行。

SQL shell— 数据库权限

jSQL Injection 自动化SQL注入工具

Web shell与 SQL 查询类似。

通常需要用户和密码并在左侧设置,在这种情况下只需使用 utilRead file打开任何包含硬编码凭据的文件。

Upload— 上传文件

jSQL Injection 自动化SQL注入工具

运行 PHP 服务器的目标也能够创建上传 shell。

选择注入有效时左侧的shell位置,然后选择系统中的文件开始上传。

Brute force– 暴破hash

jSQL Injection 自动化SQL注入工具

文本散列通常是一个单向过程,但只要经过足够的计算就可以在所有排列中找到原始文本。

选择组成源文本的哈希类型和字符范围等选项,当计算的哈希匹配时显示原始文本。

Encoding– 文本编码

jSQL Injection 自动化SQL注入工具

文本编码和解码很简单,但在目标分析期间经常需要。

在顶部设置文本并选择方法编码或解码,结果显示在底部。

Batch scan— 批量注入

jSQL Injection 自动化SQL注入工具

如果您有目标列表,则可以方便地以原始形式检查注射识别。

将目标放在左边并开始识别,当有效时,每个目标都会被标记识别的策略。

安装方法

首先,安装☕Java 11或最高版本20,然后下载最新的jSQL版本并双击文件jsql-injection-v0.98.jar以运行该软件。

您也可以在终端中输入来启动该程序。

java -jar jsql-injection-v0.98.jar

如果您正在使用 Kali Linux,则使用命令获取最新版本。

apt updateapt full-upgradesudo apt-get -f install jsql

工具截图

jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具
jSQL Injection 自动化SQL注入工具

使用文档

https://github.com/ron190/jsql-injection/wiki

下载地址

jsql-injection-v0.98.jar

转载请注明出处及链接

Leave a Reply

您的邮箱地址不会被公开。 必填项已用 * 标注