Оффтоп SQLRipper. Пошаговая инструкция.

Недавно мне передали в руки отличную программу, которой я пользуюсь успешно и по сей день - название ее, как можно догадаться из темы, SQLRipper.

Программа SQLRipper предназначена для изучения БД через ошибки в программном коде WEB- сайтов, т.н. SQL-инъекции (мои любимые!).
sql-injection-attack.jpg


SQLRipper – это средство анализа безопасности сайтов использующий связку PHP - MySql. Мощные, гибкие и очень простые в использовании функции гарантируют удобство поиска и анализа SQL– инъекций (про последнее можно почитать, к примеру, здесь).


Сполер о возможностях программы:

P.S: версия программы на скриншоте, и той, что будет доступна по ссылке ниже - отличается, однако отличия несущественны.

А теперь, собственно, сама пошаговая инструкция по работе с программой!


1. В поле «URL» (внизу) вводим адрес сайта, например - www.blog-seo.ru
attachment_1.jpeg


2. В настройках ( Сервис -> Установки) устанавливаем следующие параметры:

attachment_2.jpeg



3. Нажимаем «Start».
В итоге получаем список ссылок содержащих уязвимость - Sql Injection.
Перечень ссылок с уязвимостью автоматически сохраняется в файл ParLog.txt в папке программы. Так же данный список можно сохранить в dbf-файле, нажав «выгрузка данных в ParserTmp.dbf».

attachment_3.jpeg


4. Нажимаем по выбранной ссылке правой кнопкой «Проверка строки на SQL-Injection».

attachment_4.jpeg



5. После проверки строки на SQL-Injection получаем запись вида - +union+select+version()
Это набор параметров для подстановки их в модуле «Ripper».
attachment_5.jpeg




6. Два раза щелкаем по строке «+union+select+version()» или через контекстное меню «Отправка Ripper-у» (правой кнопкой). Открывается закладка модуля «Ripper» с заполненными полями.

attachment_6.jpeg



7. Нажимаем кнопку «Test» и получаем данные, содержащие версию MySql сервера.

attachment_7.jpeg

8. Через контекстное меню по пустой форме «Список баз» или через «Команды -> Ripper -> Запрос списка баз» получаем список баз.


attachment_8.jpeg

9. Двойной щелчок по названию базы или через контекстное меню «Список таблиц» получаем список таблиц
(например: список таблиц базы kinorash).
attachment_9.jpeg



10. Двойной щелчок по названию таблицы или через контекстное меню «Список полей» получаем список поле таблицы
(например: список полей таблицы dle_users).

attachment_10.jpeg


11. Двойной щелчок по названию поля таблицы или через контекстное меню «Данные поля» получаем содержание выбранного столбца данной таблицы (например: столбец name таблицы dle_users).
attachment_11.jpeg



12. В итоге получили список пользователей базы kinorash.

Скачать
Пароль на скачивание: openssource
 

[nick="vileplayer"]vileplayer[/nick], Модераторов мало.Не трудно же различить что и куда.
http://s1.piratehub.biz/showthread.php?t=485 это 100% копипаста.Смысла в закрытом разделе не вижу.
+ в оффтопе.бред...
 

Последнее редактирование:
Назад
Сверху