超級SQL注入工具使用說明書V20211227

1、程序簡介超級 sql注入工具（ ssqlinjection）是一款基于 http協(xié)議自組包的 sql注入工具，支持顯現(xiàn)在 http協(xié)議任意位置的 sql注入，支持各種類型的sql注入，支持 https模式注入；超級 sql注入工具目前支持bool 型盲注、錯誤顯示注入、union 注入，支持 access 、mysql5以上版本、 sqlserver、oracle 等數(shù)據(jù)庫；超級 sql注入工具采納 c#開發(fā)，底層采納 socket 發(fā)包進(jìn)行 http交互，極大的提升了發(fā)包效率，相比 c#自帶的 httpwebrequest 速度提升 2-5 倍；超級 sql注入工具支持盲注環(huán)境獵取世界各國語

2、言數(shù)據(jù)，解決了各種常見注入工具在盲注環(huán)境下無法支持中文等多字節(jié)編碼的數(shù)據(jù)；工具特點：1. 支持任意地點顯現(xiàn)的任意sql注入2. 支持各種語言環(huán)境；大多數(shù)注入工具在盲注下，無法獵取中文等多字節(jié)編碼字符內(nèi)容，本工具可完善解決；3. 支持注入數(shù)據(jù)發(fā)包記錄；讓你明白程序是如何注入，有助于快速學(xué)習(xí)和找出注入問題；4. 依靠關(guān)鍵字進(jìn)行盲注，可通過http相應(yīng)狀態(tài)碼判定，仍可以通過關(guān)鍵字取反功能，反過來取關(guān)鍵字；程序運行需要安裝. net framework 4.0；運行環(huán)境 win7,win8 環(huán)境已測試，其他環(huán)境請自測；1. 基礎(chǔ)信息配置1.1. 地址打開程序在基礎(chǔ)配置里面填寫需要注入地址的域名或ip

3、地址；23 /231.2. 端口打開程序在基礎(chǔ)配置里面填寫需要注入的域名或ip 地址的端口；1.3. ssl假如是 https傳輸?shù)木W(wǎng)頁需要挑選ssl，挑選 ssl會切換到 443 端口，假如是其他端口請修改端口地址；1.4. 超時程序使用 socket 傳輸，每個 http懇求的超時時間，假如超過此時間，程序?qū)⑸釛壉敬螒┣螅瑔挝皇敲耄?.5. 編碼程序在獵取 html網(wǎng)頁時， 采納的解碼方式， 程序會自動識別網(wǎng)頁編碼，假如識別失敗， 將采納此編碼進(jìn)行解碼；編碼可以在http 相應(yīng)頭的 content-type或 html 頭里面查看“charset=xxx ”；1.6. 注入類型程序目前支持

4、 bool 盲注、 union 注入、錯誤顯示注入 , 已基本掩蓋全部注入獵取數(shù)據(jù)方式；延時注入可以挑選bool 盲注，在判定方式中挑選時間判定，目前延時只支持mysql 數(shù)據(jù)庫；1.6.1. bool 盲注bool 盲注利用數(shù)據(jù)庫的阿斯特碼（ascii 碼）或 unicode 、hex 等編碼將目標(biāo)數(shù)據(jù)轉(zhuǎn)換成數(shù)字，利用and 條件來判定此數(shù)字的值，判定完成后依據(jù)對應(yīng)編碼轉(zhuǎn)換成字符串；目前 bool 盲注支持 access、mysql5、sqlserver 、oracle等數(shù)據(jù)庫，并支持中文、日文、繁體中文等世界各種語言；解決了各種注入工具在盲注環(huán)境無法獵取中文等多字節(jié)編碼的字符；1.6.2.

5、 union 注入union 注入利用數(shù)據(jù)庫的union 聯(lián)合查詢來獵取數(shù)據(jù)；目前盲注環(huán)境支持access、mysql5、sqlserver、oracle等數(shù)據(jù)庫；1.6.3. 錯誤顯示注入錯誤顯示注入利用數(shù)據(jù)庫在完成某項操作時，在程序顯現(xiàn)錯誤時將錯誤信息顯示出來進(jìn)行注入獵取目標(biāo)數(shù)據(jù)； 由于錯誤顯示的字符有長度限制，所以比 union 注入方式稍慢， mysql錯誤信息顯示大約最長為64 個字符， oracle錯誤顯示大約最長約為256 個字符， sqlserver錯誤信息顯示大約最長為2030 個字符；目前盲注支持mysql5、sqlserver 、oracle等數(shù)據(jù)庫； access 不支

6、持錯誤顯示注入；1.7. 數(shù)據(jù)庫判定數(shù)據(jù)庫類型，挑選對應(yīng)的數(shù)據(jù)庫；1.8. 線程挑選程序同時能運行的線程數(shù)量，默認(rèn)10 個線程；1.9. 重試程序發(fā)送一個http包失敗后，嘗試連續(xù)發(fā)包的次數(shù)；1.10. 自動識別填好數(shù)據(jù)包，填寫地址和端口即可自動進(jìn)行注入識別，支持get和 post參數(shù)自動識別注入；1.11. 導(dǎo)出配置點擊導(dǎo)出配置，將挑選需要導(dǎo)出程序配置信息的路徑，程序?qū)?dǎo)出配置信息到一個xml文件中，以后可以使用菜單中的導(dǎo)入配置來加載配置信息；2. 注入中心2.1. 數(shù)據(jù)包方法一：在數(shù)據(jù)包中輸入 url地址， 在數(shù)據(jù)包空白處單擊鼠標(biāo)右鍵，挑選“依據(jù) url生成數(shù)據(jù)包”，即可自動配置get型懇

7、求數(shù)據(jù)包，并自動設(shè)置ip 地址和端口；方法二：使用抓包工具將 http發(fā)包數(shù)據(jù)抓取填寫到這里，可使用fiddler、burpsuite等抓包工具，或手工配置數(shù)據(jù)包；留意事項：假如是post提交數(shù)據(jù)，必需有content-length屬性，程序才能自動運算長度；2.2. 注入設(shè)置2.2.1. 開啟 url編碼開啟 url編碼后，程序?qū)丫幋a標(biāo)記中的數(shù)據(jù)進(jìn)行url編碼操作，建議挑選，由于請求參數(shù)中假如有特別字符，可能導(dǎo)致發(fā)包結(jié)果不一樣；2.2.2. 302 跟蹤默認(rèn)未開啟，開啟后，程序遇到302 重定向時，將懇求重定向的目標(biāo)地址；假如可以依據(jù)狀態(tài)嗎判定注入時，可選中，下面關(guān)鍵字配置狀態(tài)嗎=碼，進(jìn)

8、行注入；2.2.3. 注入標(biāo)記通常手工注入使用” xxxx.asp.id=1and 1=1”進(jìn)行注入判定， 那么這里選中“and 1=1” 點擊標(biāo)記注入， 程序?qū)⒃谟凶⑷氲奈恢迷O(shè)置注入標(biāo)記，程序注入時將標(biāo)記替換成注入獵取數(shù)據(jù)的代碼；核心就是將我們測試語句中的“and 1=1 ”替換成標(biāo)記；示例：標(biāo)記其實就是挑選payload 放在那個位置數(shù)字型：1 and 1=1把 and 1=1 替換成標(biāo)記字符型：1 and 1=1 and 1=1把 and 1=1 替換成標(biāo)記字符型：1and 1=1#把 and 1=1 替換成標(biāo)記字符型：1and 1=1-把 and 1=1 替換成標(biāo)記搜尋型：1% and

9、 1=1 and %=把 and 1=1 替換成標(biāo)記2.2.4. 編碼標(biāo)記挑選數(shù)據(jù)包中需要使用url編碼的字符， 點擊標(biāo)記編碼， 程序?qū)⒉迦刖幋a標(biāo)記； 程序?qū)⒆詣右慌渲煤玫木幋a方式進(jìn)行編碼；2.2.5. 注入取數(shù)據(jù)配置參考我是如何開頭注入章節(jié)的自動模式中的獵取數(shù)據(jù)配置；3. 數(shù)據(jù)中心3.1. 環(huán)境變量3.1.1. 獵取環(huán)境變量點擊右鍵彈出菜單， 點擊獵取環(huán)境變量程序?qū)C取數(shù)據(jù)庫的基礎(chǔ)信息，access 數(shù)據(jù)庫不支持此功能；3.1.2. 復(fù)制變量值選中對應(yīng)的變量，按右鍵復(fù)制值；3.2. 數(shù)據(jù)庫信息3.2.1. 獵取數(shù)據(jù)庫點擊獵取數(shù)據(jù)庫，程序?qū)C取全部數(shù)據(jù)庫列表，oracle將獵取全部用戶列表，

10、access沒有庫；3.2.2. 獵取表點擊獵取數(shù)據(jù)表，程序?qū)C取對應(yīng)數(shù)據(jù)庫的表；3.2.3. 獵取列點擊獵取數(shù)據(jù)列，程序?qū)C取對應(yīng)表的列；3.2.4. 獵取數(shù)據(jù)獵取開頭數(shù)據(jù)，默認(rèn)開頭下標(biāo)為0，即重第一條數(shù)據(jù)開頭獵取，獵取條數(shù)可設(shè)置，但不能超過重下標(biāo)開頭的剩余行數(shù)；雙擊列名可進(jìn)行排序操作；3.2.5. 編碼設(shè)置這里的編碼設(shè)置用于bool 盲注取數(shù)據(jù)的配置，盲注如顯現(xiàn)亂碼，可以挑選其他編碼方式嘗試獵取數(shù)據(jù)，查看是否有亂碼；這里編碼主要用于數(shù)據(jù)庫中hex、 ascw、unicode 等編碼函數(shù)的解碼；3.2.6. 導(dǎo)出數(shù)據(jù)點擊導(dǎo)出數(shù)據(jù)將挑選導(dǎo)出數(shù)據(jù)的磁盤路徑，程序?qū)⒆詣訉?dǎo)出數(shù)據(jù)；3.2.7. 添加

11、節(jié)點3.2.8. 刪除節(jié)點3.2.9. 修改節(jié)點4. 文件操作4.1. mysql load_file讀文件在 mysql 的賬戶擁有文件讀寫權(quán)限下（一般情形下只有root賬戶擁有），可在盲注、錯誤顯示、union 注入下，讀取地址路徑下的文本文件內(nèi)容；填寫路徑， 挑選 mysqlload_file 讀文件，點擊開頭即可；4.2. mysql union寫文件在 mysql 的賬戶擁有文件讀寫權(quán)限下（一般情形下只有root賬戶擁有），可在union注入下，向磁盤寫文本文件；4.3. sqlserver 寫文件在 sa權(quán)限下，可利用寫文件，寫文件內(nèi)容注入不要超過4000 字節(jié)，同時如何是get懇

12、求提交留意，一般get提交不能超過1024 個字節(jié)，所以假如沒寫勝利，看看你提交的數(shù)據(jù)是否太長；4.4. sqlserver sp_makewebtas寫k 文件在 sa 權(quán)限下，可利用sp_makewebtask 寫文件，寫文件內(nèi)容注入不要超過4000 字節(jié)， 同時如何是 get懇求提交留意，一般get提交不能超過1024 個字節(jié)，所以假如沒寫勝利， 看看你提交的數(shù)據(jù)是否太長；相比勝利率較低；4.5. sqlserver利用備份數(shù)據(jù)庫寫文件在 sa權(quán)限下，可利用 backdatabase 備份數(shù)據(jù)庫方法，將內(nèi)容備份到文件中；此方法寫入文件后，此文件屬于數(shù)據(jù)庫備份文件，所以有一些其他余外數(shù)據(jù)；

13、4.6. sqlserver 讀文件在 sa權(quán)限下，可利用讀文件，可在盲注、顯錯注入、union 注入下讀取文件；讀取文件長度不能超過4000 字節(jié)；5. 命令執(zhí)行目前此功能只支持sqlserver，在 sa 權(quán)限下，可利用 xp_cmdshell執(zhí)行操作系統(tǒng)命令， 可挑選是否回顯執(zhí)行結(jié)果；可在盲注、顯錯注入、union 注入下獵取回顯結(jié)果；執(zhí)行此功能需支持多語句；6. 注入繞過6.1. 字符替換替換編輯編碼內(nèi)的字符，需留意的，默認(rèn)系統(tǒng)設(shè)置在url編碼前處理繞過字符，假如沒有挑選在 url編碼前處理繞過字符，那么替換的字符就是url編碼后的字符， 如替換空格成/*/，那么填寫的就是“ %20”

14、替換成“ %2f*%2f”；6.2. 包含關(guān)鍵字適用于 mysql 數(shù)據(jù)庫的簡繞過，可人工測試可行后挑選使用/*.*/包含關(guān)鍵字來繞過防護(hù)；6.3. 隨機(jī)大寫將編碼標(biāo)記內(nèi)的字符進(jìn)行隨機(jī)大小寫轉(zhuǎn)換，繞過sql注入防護(hù)；6.4. 發(fā)包延時將每個包發(fā)送后休息肯定時間在發(fā)送，繞過一些防護(hù)；6.5. ip 隨機(jī)頭在 http懇求頭中增加隨機(jī)ip 值，這里列出來常見的假裝ip 頭，可測試挑選對應(yīng)的頭， 程序會隨機(jī)產(chǎn)生 ip；6.6. base64編碼將編碼范疇內(nèi)參數(shù)進(jìn)行base64 編碼；7. 編碼轉(zhuǎn)換填寫需要轉(zhuǎn)換的字符，挑選對應(yīng)編碼解碼方法就行；8. 日志中心8.1. 數(shù)據(jù)包歷史記錄數(shù)據(jù)包歷史記錄記錄了

15、程序每一個http 的懇求與相應(yīng)，可用于錯誤排查；如需要提高性能，可在菜單中的系統(tǒng)設(shè)置中挑選關(guān)閉http發(fā)包日志記錄；8.2. 數(shù)據(jù)包詳情在數(shù)據(jù)包歷史記錄中挑選一條記錄，程序?qū)⒆詣訉⒕唧w信息進(jìn)行顯示，可以查看懇求響應(yīng)數(shù)據(jù)，在響應(yīng)中同時按“ ctrl+alt”鍵可以彈出查找關(guān)鍵字面板，進(jìn)行關(guān)鍵字查找；9. 批量掃描注入導(dǎo)入域名或鏈接，挑選爬行或檢測注入；10. 停止注入10.1. 立刻停止當(dāng)前功能下點擊右鍵，點擊立刻停止，程序?qū)⑼Ｖ巩?dāng)前全部線程；11. 系統(tǒng)設(shè)置開啟 mysql 多字節(jié)取數(shù)據(jù)，將判定數(shù)據(jù)是否有中文；開啟自動檢測更新，程序?qū)⒆詣訖z測更新；開啟底部日志，程序?qū)⒃诘撞匡@示日志信息；開啟

16、示包日志，程序?qū)⒂涗沨ttp每一個發(fā)包日志；開啟在 url編碼前處理繞過字符，全部繞過字符處理將處理后再進(jìn)行url編碼；軟件關(guān)閉自動儲存配置，軟件關(guān)閉時是否自動儲存配置；最大列數(shù)，自動識別注入時，自動進(jìn)行union 測試時的最大測試列；單域名最大爬行數(shù)，批量掃描注入時，假如選中爬行連接，一個域名爬行到最大鏈接數(shù)后將停止連續(xù)爬行鏈接；單域名最大掃描數(shù)，批量掃描注入時，單個域名最大檢測注入鏈接數(shù)；12. 我如何開頭注入？12.1. 自動模式自動模式適合網(wǎng)頁響應(yīng)內(nèi)容比較固定的注入檢測，自動模式只支持get或者 post傳遞的參數(shù)的注入檢測，不支持http懇求屬性的注入，如referer注入；第一開頭

17、自動識別注入時，需要配置基礎(chǔ)信息，地址、端口、超時、編碼、線程、重試次數(shù)；其次需要配置 http懇求數(shù)據(jù)包，可以在數(shù)據(jù)包文本框里按鼠標(biāo)右鍵挑選生成get或 post數(shù)據(jù)模板，然后修改懇求的url地址和 host及提交數(shù)據(jù)；注入 示例數(shù)據(jù)包配置：一、方法一在數(shù)據(jù)包中輸入 url地址，在數(shù)據(jù)包空白處單擊鼠標(biāo)右鍵， 挑選“依據(jù) url生成數(shù)據(jù)包”， 即可自動配置get型懇求數(shù)據(jù)包， 并自動設(shè)置 ip 地址和端口；二、第一生成 get數(shù)據(jù)包模板， 修改懇求 url地址，這里取 url的根目錄“ /mysql.jsp.id=1”，然后修改 host 為“ :8090”即可；最終點擊識別

18、注入，就可以開頭自動識別注入了，假如識別勝利， 會自動設(shè)置數(shù)據(jù)庫類型和注入類型， 并自動進(jìn)行注入標(biāo)記，這時候只需要切換到數(shù)據(jù)中心挑選對應(yīng)功能去獵取相 關(guān)數(shù)據(jù)即可；12.2. 手動模式12.2.1. 基礎(chǔ)配置手動模式相對自動模式配置相對復(fù)雜，但自動模式可以應(yīng)付各種情形各種位置的注入；第一需要完成基本配置，基本配置參考自動模式的整個過程；然后需要人工對注入進(jìn)行判定后在挑選對應(yīng)數(shù)據(jù)庫和注入類型，并進(jìn)行標(biāo)記，那么如何進(jìn)行判定和標(biāo)記呢？第一需要判定注入的類型，比如數(shù)字型、字符型、搜尋型等，然后判定對應(yīng)的數(shù)據(jù)庫；判定完成后，需要對注入位置進(jìn)行標(biāo)記，如何判定和標(biāo)記，請往下看！12.2.2. 判定注入類型12

19、.2.2.1. 通用數(shù)字型url地址：判定注入：轉(zhuǎn)變參數(shù) id=1 and 1=1和 id=1 and 1=2進(jìn)行測試，假如 1=1 頁面顯示正常和原頁面一樣，并且 1=2 時頁面報錯或者頁面部分?jǐn)?shù)據(jù)顯示不正常，那么可以確定此處為數(shù)字型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應(yīng)數(shù)據(jù)庫的系統(tǒng)表是否存在，依據(jù)頁面是否正常來判定對應(yīng)數(shù)據(jù)庫類型；mysq：land existsselect 1 from information_schema.tablessqlserver: and existsselect 1 from sysobjects access: and existssele

20、ct 1 from msysaccessobjects oracle: and existsselect 1 from user_tables. 通用字符型url地址：判定注入：轉(zhuǎn)變參數(shù) id=1 and 1=1 and 1=1 和 id=1 and 1=1 and 1=2 進(jìn)行測試，或者利用注釋符號“ #”或者“ ”，當(dāng)然特別字符記得進(jìn)行 url編碼， “ #”url編碼后是“ %23”，“ ”編碼后是“ %20”，利用注釋符，那么可以轉(zhuǎn)變參數(shù)為 id=1 and 1=1%23和 id=1 and 1=2%23來進(jìn)行測試，假如 1=1 頁面顯示正常和原頁面一樣，并且 1=2

21、時頁面報錯或者頁面部分?jǐn)?shù)據(jù)顯示不正常，那么可以確定此處為字符型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應(yīng)數(shù)據(jù)庫的系統(tǒng)表是否存在，依據(jù)頁面是否正常來判定對應(yīng)數(shù)據(jù)庫類型；mysq：l and existsselect 1 from information_schema.tables anda=asqlserver: and existsselect 1 from sysobjects anda=a access: and existsselect 1 from msysaccessobjects anda=a oracle: and existsselect 1 fromuser_t

22、ables anda=a. 通用搜尋型url地址：判定注入：轉(zhuǎn)變參數(shù) id=1% and 1=1 and%= 和id=1% and 1=2 and%=進(jìn)行測 試，或者利用注釋符號“#”或者“ ”，當(dāng)然特別字符記得進(jìn)行url編碼， “ #”url編碼后是“ %23”，“ ”編碼后是“ %20”，利用注釋符，那么可以轉(zhuǎn)變參數(shù)為id=1% and 1=1%23和 id=1% and1=2%23來進(jìn)行測試，假如1=1 頁面顯示正常和原頁面一樣，并且1=2 時頁面報錯或者頁面部分?jǐn)?shù)據(jù)顯示不正常，那么可以確定此處為搜尋型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應(yīng)數(shù)據(jù)庫的系統(tǒng)表

23、是否存在，依據(jù)頁面是否正常來判定對應(yīng)數(shù)據(jù)庫類型；mysq：l % and existsselect 1 from information_schema.tables and%=sqlserver:.id=1% and existsselect 1 from sysobjects and%= access: and existsselect 1 from msysaccessobjects and%= oracle: and existsselect 1 fromuser_tablesand %=. or類型url地址 :判定注入：轉(zhuǎn)變參數(shù) username=1 or1=1 an

24、d 1=1 and1=1 和username=1 or1=1 and 1=2 and1=1 進(jìn)行測試，或者利用注釋符號“#”或者“”，當(dāng)然特別字符記得進(jìn)行 url編碼， “ #”url編碼后是“ %23”，“ ”編碼后是“ %20”，利用注釋符， 那么可以轉(zhuǎn)變參數(shù)為1 or1=1 and 1=1%23和 1 or1=1 and 1=2%23來進(jìn)行測試， 假如 1=1 頁面顯示正常和原頁面一樣，并且1=2 時頁面報錯或者頁面部分?jǐn)?shù)據(jù)顯示不正常， 那么可以確定此處為字符型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應(yīng)數(shù)據(jù)庫的系統(tǒng)表是否存在，依據(jù)頁面是否正常來判定對應(yīng)數(shù)據(jù)庫類型；mysq：

25、l .username=1 or1=1 and existsselect 1 frominformation_schema.tables anda=a&password=1sqlserver: or1=1and existsselect 1 from sysobjects anda=a access: or1=1and existsselect 1 from msysaccessobjects anda=a oracle: or1=1 and existsselect 1 from user_tables anda=a12.2.3. 注入標(biāo)記很簡潔， 第一選中需要進(jìn)行url編碼的參數(shù)值， 挑選

26、需要進(jìn)行url編碼的參數(shù)后再選中之前判定注入類型中的“ and 1=1 ”，然后點擊右邊的標(biāo)記注入按鈕，或者直接刪除“and 1=1”后，在對應(yīng)的位置插入注入標(biāo)記；12.2.4. 獵取數(shù)據(jù)配置. bool 盲注取數(shù)據(jù)配置.1.基本配置bool 盲注配置依靠關(guān)鍵字、狀態(tài)碼、響應(yīng)時間等因素進(jìn)行規(guī)律上的真假判定；關(guān)鍵字判定關(guān)鍵字是正常規(guī)律上為真，頁面上存在的字符， 而規(guī)律上為假， 頁面上沒有顯現(xiàn)的字符；即“ and 1=1 ”顯現(xiàn)的字符，而“ and 1=2 ”時未顯現(xiàn)的字符；示例：正常的數(shù)字型注入：盲注關(guān)鍵字可挑選and 1=1 時，頁面上顯現(xiàn)的關(guān)鍵字，and 1=2 時沒有顯現(xiàn)的關(guān)鍵字， 比如 “sql”、“我是 sql”