超級SQL注入工具使用說明書V20211227

1、程序簡介超級 sql注入工具（ ssqlinjection）是一款基于 http協(xié)議自組包的 sql注入工具，支持顯現(xiàn)在 http協(xié)議任意位置的 sql注入，支持各種類型的sql注入，支持 https模式注入；超級 sql注入工具目前支持bool 型盲注、錯誤顯示注入、union 注入，支持 access 、mysql5以上版本、 sqlserver、oracle 等數(shù)據(jù)庫；超級 sql注入工具采納 c#開發(fā)，底層采納 socket 發(fā)包進行 http交互，極大的提升了發(fā)包效率，相比 c#自帶的 httpwebrequest 速度提升 2-5 倍；超級 sql注入工具支持盲注環(huán)境獵取世界各國語

2、言數(shù)據(jù)，解決了各種常見注入工具在盲注環(huán)境下無法支持中文等多字節(jié)編碼的數(shù)據(jù)；工具特點：1. 支持任意地點顯現(xiàn)的任意sql注入2. 支持各種語言環(huán)境；大多數(shù)注入工具在盲注下，無法獵取中文等多字節(jié)編碼字符內容，本工具可完善解決；3. 支持注入數(shù)據(jù)發(fā)包記錄；讓你明白程序是如何注入，有助于快速學習和找出注入問題；4. 依靠關鍵字進行盲注，可通過http相應狀態(tài)碼判定，仍可以通過關鍵字取反功能，反過來取關鍵字；程序運行需要安裝. net framework 4.0；運行環(huán)境 win7,win8 環(huán)境已測試，其他環(huán)境請自測；1. 基礎信息配置1.1. 地址打開程序在基礎配置里面填寫需要注入地址的域名或ip

3、地址；23 /231.2. 端口打開程序在基礎配置里面填寫需要注入的域名或ip 地址的端口；1.3. ssl假如是 https傳輸?shù)木W(wǎng)頁需要挑選ssl，挑選 ssl會切換到 443 端口，假如是其他端口請修改端口地址；1.4. 超時程序使用 socket 傳輸，每個 http懇求的超時時間，假如超過此時間，程序將舍棄本次懇求，單位是秒；1.5. 編碼程序在獵取 html網(wǎng)頁時， 采納的解碼方式， 程序會自動識別網(wǎng)頁編碼，假如識別失敗， 將采納此編碼進行解碼；編碼可以在http 相應頭的 content-type或 html 頭里面查看“charset=xxx ”；1.6. 注入類型程序目前支持

4、 bool 盲注、 union 注入、錯誤顯示注入 , 已基本掩蓋全部注入獵取數(shù)據(jù)方式；延時注入可以挑選bool 盲注，在判定方式中挑選時間判定，目前延時只支持mysql 數(shù)據(jù)庫；1.6.1. bool 盲注bool 盲注利用數(shù)據(jù)庫的阿斯特碼（ascii 碼）或 unicode 、hex 等編碼將目標數(shù)據(jù)轉換成數(shù)字，利用and 條件來判定此數(shù)字的值，判定完成后依據(jù)對應編碼轉換成字符串；目前 bool 盲注支持 access、mysql5、sqlserver 、oracle等數(shù)據(jù)庫，并支持中文、日文、繁體中文等世界各種語言；解決了各種注入工具在盲注環(huán)境無法獵取中文等多字節(jié)編碼的字符；1.6.2.

5、 union 注入union 注入利用數(shù)據(jù)庫的union 聯(lián)合查詢來獵取數(shù)據(jù)；目前盲注環(huán)境支持access、mysql5、sqlserver、oracle等數(shù)據(jù)庫；1.6.3. 錯誤顯示注入錯誤顯示注入利用數(shù)據(jù)庫在完成某項操作時，在程序顯現(xiàn)錯誤時將錯誤信息顯示出來進行注入獵取目標數(shù)據(jù)； 由于錯誤顯示的字符有長度限制，所以比 union 注入方式稍慢， mysql錯誤信息顯示大約最長為64 個字符， oracle錯誤顯示大約最長約為256 個字符， sqlserver錯誤信息顯示大約最長為2030 個字符；目前盲注支持mysql5、sqlserver 、oracle等數(shù)據(jù)庫； access 不支

6、持錯誤顯示注入；1.7. 數(shù)據(jù)庫判定數(shù)據(jù)庫類型，挑選對應的數(shù)據(jù)庫；1.8. 線程挑選程序同時能運行的線程數(shù)量，默認10 個線程；1.9. 重試程序發(fā)送一個http包失敗后，嘗試連續(xù)發(fā)包的次數(shù)；1.10. 自動識別填好數(shù)據(jù)包，填寫地址和端口即可自動進行注入識別，支持get和 post參數(shù)自動識別注入；1.11. 導出配置點擊導出配置，將挑選需要導出程序配置信息的路徑，程序將導出配置信息到一個xml文件中，以后可以使用菜單中的導入配置來加載配置信息；2. 注入中心2.1. 數(shù)據(jù)包方法一：在數(shù)據(jù)包中輸入 url地址， 在數(shù)據(jù)包空白處單擊鼠標右鍵，挑選“依據(jù) url生成數(shù)據(jù)包”，即可自動配置get型懇

7、求數(shù)據(jù)包，并自動設置ip 地址和端口；方法二：使用抓包工具將 http發(fā)包數(shù)據(jù)抓取填寫到這里，可使用fiddler、burpsuite等抓包工具，或手工配置數(shù)據(jù)包；留意事項：假如是post提交數(shù)據(jù)，必需有content-length屬性，程序才能自動運算長度；2.2. 注入設置2.2.1. 開啟 url編碼開啟 url編碼后，程序將會把編碼標記中的數(shù)據(jù)進行url編碼操作，建議挑選，由于請求參數(shù)中假如有特別字符，可能導致發(fā)包結果不一樣；2.2.2. 302 跟蹤默認未開啟，開啟后，程序遇到302 重定向時，將懇求重定向的目標地址；假如可以依據(jù)狀態(tài)嗎判定注入時，可選中，下面關鍵字配置狀態(tài)嗎=碼，進

8、行注入；2.2.3. 注入標記通常手工注入使用” xxxx.asp.id=1and 1=1”進行注入判定， 那么這里選中“and 1=1” 點擊標記注入， 程序將在有注入的位置設置注入標記，程序注入時將標記替換成注入獵取數(shù)據(jù)的代碼；核心就是將我們測試語句中的“and 1=1 ”替換成標記；示例：標記其實就是挑選payload 放在那個位置數(shù)字型：1 and 1=1把 and 1=1 替換成標記字符型：1 and 1=1 and 1=1把 and 1=1 替換成標記字符型：1and 1=1#把 and 1=1 替換成標記字符型：1and 1=1-把 and 1=1 替換成標記搜尋型：1% and

9、 1=1 and %=把 and 1=1 替換成標記2.2.4. 編碼標記挑選數(shù)據(jù)包中需要使用url編碼的字符， 點擊標記編碼， 程序將插入編碼標記； 程序將自動一配置好的編碼方式進行編碼；2.2.5. 注入取數(shù)據(jù)配置參考我是如何開頭注入章節(jié)的自動模式中的獵取數(shù)據(jù)配置；3. 數(shù)據(jù)中心3.1. 環(huán)境變量3.1.1. 獵取環(huán)境變量點擊右鍵彈出菜單， 點擊獵取環(huán)境變量程序將獵取數(shù)據(jù)庫的基礎信息，access 數(shù)據(jù)庫不支持此功能；3.1.2. 復制變量值選中對應的變量，按右鍵復制值；3.2. 數(shù)據(jù)庫信息3.2.1. 獵取數(shù)據(jù)庫點擊獵取數(shù)據(jù)庫，程序將獵取全部數(shù)據(jù)庫列表，oracle將獵取全部用戶列表，

10、access沒有庫；3.2.2. 獵取表點擊獵取數(shù)據(jù)表，程序將獵取對應數(shù)據(jù)庫的表；3.2.3. 獵取列點擊獵取數(shù)據(jù)列，程序將獵取對應表的列；3.2.4. 獵取數(shù)據(jù)獵取開頭數(shù)據(jù)，默認開頭下標為0，即重第一條數(shù)據(jù)開頭獵取，獵取條數(shù)可設置，但不能超過重下標開頭的剩余行數(shù)；雙擊列名可進行排序操作；3.2.5. 編碼設置這里的編碼設置用于bool 盲注取數(shù)據(jù)的配置，盲注如顯現(xiàn)亂碼，可以挑選其他編碼方式嘗試獵取數(shù)據(jù)，查看是否有亂碼；這里編碼主要用于數(shù)據(jù)庫中hex、 ascw、unicode 等編碼函數(shù)的解碼；3.2.6. 導出數(shù)據(jù)點擊導出數(shù)據(jù)將挑選導出數(shù)據(jù)的磁盤路徑，程序將自動導出數(shù)據(jù)；3.2.7. 添加

11、節(jié)點3.2.8. 刪除節(jié)點3.2.9. 修改節(jié)點4. 文件操作4.1. mysql load_file讀文件在 mysql 的賬戶擁有文件讀寫權限下（一般情形下只有root賬戶擁有），可在盲注、錯誤顯示、union 注入下，讀取地址路徑下的文本文件內容；填寫路徑， 挑選 mysqlload_file 讀文件，點擊開頭即可；4.2. mysql union寫文件在 mysql 的賬戶擁有文件讀寫權限下（一般情形下只有root賬戶擁有），可在union注入下，向磁盤寫文本文件；4.3. sqlserver 寫文件在 sa權限下，可利用寫文件，寫文件內容注入不要超過4000 字節(jié)，同時如何是get懇

12、求提交留意，一般get提交不能超過1024 個字節(jié)，所以假如沒寫勝利，看看你提交的數(shù)據(jù)是否太長；4.4. sqlserver sp_makewebtas寫k 文件在 sa 權限下，可利用sp_makewebtask 寫文件，寫文件內容注入不要超過4000 字節(jié)， 同時如何是 get懇求提交留意，一般get提交不能超過1024 個字節(jié)，所以假如沒寫勝利， 看看你提交的數(shù)據(jù)是否太長；相比勝利率較低；4.5. sqlserver利用備份數(shù)據(jù)庫寫文件在 sa權限下，可利用 backdatabase 備份數(shù)據(jù)庫方法，將內容備份到文件中；此方法寫入文件后，此文件屬于數(shù)據(jù)庫備份文件，所以有一些其他余外數(shù)據(jù)；

13、4.6. sqlserver 讀文件在 sa權限下，可利用讀文件，可在盲注、顯錯注入、union 注入下讀取文件；讀取文件長度不能超過4000 字節(jié)；5. 命令執(zhí)行目前此功能只支持sqlserver，在 sa 權限下，可利用 xp_cmdshell執(zhí)行操作系統(tǒng)命令， 可挑選是否回顯執(zhí)行結果；可在盲注、顯錯注入、union 注入下獵取回顯結果；執(zhí)行此功能需支持多語句；6. 注入繞過6.1. 字符替換替換編輯編碼內的字符，需留意的，默認系統(tǒng)設置在url編碼前處理繞過字符，假如沒有挑選在 url編碼前處理繞過字符，那么替換的字符就是url編碼后的字符， 如替換空格成/*/，那么填寫的就是“ %20”

14、替換成“ %2f*%2f”；6.2. 包含關鍵字適用于 mysql 數(shù)據(jù)庫的簡繞過，可人工測試可行后挑選使用/*.*/包含關鍵字來繞過防護；6.3. 隨機大寫將編碼標記內的字符進行隨機大小寫轉換，繞過sql注入防護；6.4. 發(fā)包延時將每個包發(fā)送后休息肯定時間在發(fā)送，繞過一些防護；6.5. ip 隨機頭在 http懇求頭中增加隨機ip 值，這里列出來常見的假裝ip 頭，可測試挑選對應的頭， 程序會隨機產生 ip；6.6. base64編碼將編碼范疇內參數(shù)進行base64 編碼；7. 編碼轉換填寫需要轉換的字符，挑選對應編碼解碼方法就行；8. 日志中心8.1. 數(shù)據(jù)包歷史記錄數(shù)據(jù)包歷史記錄記錄了

15、程序每一個http 的懇求與相應，可用于錯誤排查；如需要提高性能，可在菜單中的系統(tǒng)設置中挑選關閉http發(fā)包日志記錄；8.2. 數(shù)據(jù)包詳情在數(shù)據(jù)包歷史記錄中挑選一條記錄，程序將自動將具體信息進行顯示，可以查看懇求響應數(shù)據(jù)，在響應中同時按“ ctrl+alt”鍵可以彈出查找關鍵字面板，進行關鍵字查找；9. 批量掃描注入導入域名或鏈接，挑選爬行或檢測注入；10. 停止注入10.1. 立刻停止當前功能下點擊右鍵，點擊立刻停止，程序將停止當前全部線程；11. 系統(tǒng)設置開啟 mysql 多字節(jié)取數(shù)據(jù)，將判定數(shù)據(jù)是否有中文；開啟自動檢測更新，程序將自動檢測更新；開啟底部日志，程序將在底部顯示日志信息；開啟

16、示包日志，程序將記錄http每一個發(fā)包日志；開啟在 url編碼前處理繞過字符，全部繞過字符處理將處理后再進行url編碼；軟件關閉自動儲存配置，軟件關閉時是否自動儲存配置；最大列數(shù)，自動識別注入時，自動進行union 測試時的最大測試列；單域名最大爬行數(shù)，批量掃描注入時，假如選中爬行連接，一個域名爬行到最大鏈接數(shù)后將停止連續(xù)爬行鏈接；單域名最大掃描數(shù)，批量掃描注入時，單個域名最大檢測注入鏈接數(shù)；12. 我如何開頭注入？12.1. 自動模式自動模式適合網(wǎng)頁響應內容比較固定的注入檢測，自動模式只支持get或者 post傳遞的參數(shù)的注入檢測，不支持http懇求屬性的注入，如referer注入；第一開頭

17、自動識別注入時，需要配置基礎信息，地址、端口、超時、編碼、線程、重試次數(shù)；其次需要配置 http懇求數(shù)據(jù)包，可以在數(shù)據(jù)包文本框里按鼠標右鍵挑選生成get或 post數(shù)據(jù)模板，然后修改懇求的url地址和 host及提交數(shù)據(jù)；注入 示例數(shù)據(jù)包配置：一、方法一在數(shù)據(jù)包中輸入 url地址，在數(shù)據(jù)包空白處單擊鼠標右鍵， 挑選“依據(jù) url生成數(shù)據(jù)包”， 即可自動配置get型懇求數(shù)據(jù)包， 并自動設置 ip 地址和端口；二、第一生成 get數(shù)據(jù)包模板， 修改懇求 url地址，這里取 url的根目錄“ /mysql.jsp.id=1”，然后修改 host 為“ :8090”即可；最終點擊識別

18、注入，就可以開頭自動識別注入了，假如識別勝利， 會自動設置數(shù)據(jù)庫類型和注入類型， 并自動進行注入標記，這時候只需要切換到數(shù)據(jù)中心挑選對應功能去獵取相 關數(shù)據(jù)即可；12.2. 手動模式12.2.1. 基礎配置手動模式相對自動模式配置相對復雜，但自動模式可以應付各種情形各種位置的注入；第一需要完成基本配置，基本配置參考自動模式的整個過程；然后需要人工對注入進行判定后在挑選對應數(shù)據(jù)庫和注入類型，并進行標記，那么如何進行判定和標記呢？第一需要判定注入的類型，比如數(shù)字型、字符型、搜尋型等，然后判定對應的數(shù)據(jù)庫；判定完成后，需要對注入位置進行標記，如何判定和標記，請往下看！12.2.2. 判定注入類型12

19、.2.2.1. 通用數(shù)字型url地址：判定注入：轉變參數(shù) id=1 and 1=1和 id=1 and 1=2進行測試，假如 1=1 頁面顯示正常和原頁面一樣，并且 1=2 時頁面報錯或者頁面部分數(shù)據(jù)顯示不正常，那么可以確定此處為數(shù)字型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應數(shù)據(jù)庫的系統(tǒng)表是否存在，依據(jù)頁面是否正常來判定對應數(shù)據(jù)庫類型；mysq：land existsselect 1 from information_schema.tablessqlserver: and existsselect 1 from sysobjects access: and existssele

20、ct 1 from msysaccessobjects oracle: and existsselect 1 from user_tables. 通用字符型url地址：判定注入：轉變參數(shù) id=1 and 1=1 and 1=1 和 id=1 and 1=1 and 1=2 進行測試，或者利用注釋符號“ #”或者“ ”，當然特別字符記得進行 url編碼， “ #”url編碼后是“ %23”，“ ”編碼后是“ %20”，利用注釋符，那么可以轉變參數(shù)為 id=1 and 1=1%23和 id=1 and 1=2%23來進行測試，假如 1=1 頁面顯示正常和原頁面一樣，并且 1=2

21、時頁面報錯或者頁面部分數(shù)據(jù)顯示不正常，那么可以確定此處為字符型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應數(shù)據(jù)庫的系統(tǒng)表是否存在，依據(jù)頁面是否正常來判定對應數(shù)據(jù)庫類型；mysq：l and existsselect 1 from information_schema.tables anda=asqlserver: and existsselect 1 from sysobjects anda=a access: and existsselect 1 from msysaccessobjects anda=a oracle: and existsselect 1 fromuser_t

22、ables anda=a. 通用搜尋型url地址：判定注入：轉變參數(shù) id=1% and 1=1 and%= 和id=1% and 1=2 and%=進行測 試，或者利用注釋符號“#”或者“ ”，當然特別字符記得進行url編碼， “ #”url編碼后是“ %23”，“ ”編碼后是“ %20”，利用注釋符，那么可以轉變參數(shù)為id=1% and 1=1%23和 id=1% and1=2%23來進行測試，假如1=1 頁面顯示正常和原頁面一樣，并且1=2 時頁面報錯或者頁面部分數(shù)據(jù)顯示不正常，那么可以確定此處為搜尋型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應數(shù)據(jù)庫的系統(tǒng)表

23、是否存在，依據(jù)頁面是否正常來判定對應數(shù)據(jù)庫類型；mysq：l % and existsselect 1 from information_schema.tables and%=sqlserver:.id=1% and existsselect 1 from sysobjects and%= access: and existsselect 1 from msysaccessobjects and%= oracle: and existsselect 1 fromuser_tablesand %=. or類型url地址 :判定注入：轉變參數(shù) username=1 or1=1 an

24、d 1=1 and1=1 和username=1 or1=1 and 1=2 and1=1 進行測試，或者利用注釋符號“#”或者“”，當然特別字符記得進行 url編碼， “ #”url編碼后是“ %23”，“ ”編碼后是“ %20”，利用注釋符， 那么可以轉變參數(shù)為1 or1=1 and 1=1%23和 1 or1=1 and 1=2%23來進行測試， 假如 1=1 頁面顯示正常和原頁面一樣，并且1=2 時頁面報錯或者頁面部分數(shù)據(jù)顯示不正常， 那么可以確定此處為字符型注入；判定數(shù)據(jù)庫類型：使用 exists函數(shù)判定查詢對應數(shù)據(jù)庫的系統(tǒng)表是否存在，依據(jù)頁面是否正常來判定對應數(shù)據(jù)庫類型；mysq：

25、l .username=1 or1=1 and existsselect 1 frominformation_schema.tables anda=a&password=1sqlserver: or1=1and existsselect 1 from sysobjects anda=a access: or1=1and existsselect 1 from msysaccessobjects anda=a oracle: or1=1 and existsselect 1 from user_tables anda=a12.2.3. 注入標記很簡潔， 第一選中需要進行url編碼的參數(shù)值， 挑選

26、需要進行url編碼的參數(shù)后再選中之前判定注入類型中的“ and 1=1 ”，然后點擊右邊的標記注入按鈕，或者直接刪除“and 1=1”后，在對應的位置插入注入標記；12.2.4. 獵取數(shù)據(jù)配置. bool 盲注取數(shù)據(jù)配置.1.基本配置bool 盲注配置依靠關鍵字、狀態(tài)碼、響應時間等因素進行規(guī)律上的真假判定；關鍵字判定關鍵字是正常規(guī)律上為真，頁面上存在的字符， 而規(guī)律上為假， 頁面上沒有顯現(xiàn)的字符；即“ and 1=1 ”顯現(xiàn)的字符，而“ and 1=2 ”時未顯現(xiàn)的字符；示例：正常的數(shù)字型注入：盲注關鍵字可挑選and 1=1 時，頁面上顯現(xiàn)的關鍵字，and 1=2 時沒有顯現(xiàn)的關鍵字， 比如 “sql”、“我是 sql”