MsSQL SQL Injection Data Crawler

Posted: July 7, 2009 in Hacking, Security
Tags: , , , , , , ,
La gente de Blacksecurity saco hace ya unos 6 meses una herramienta para poder hacer todos estos menesteres en bases de datos mssql como pior ejemplo y hace un data crawling extnso para determinar schemas,tables,columns y demas info contenida en la base de datos que vamos a…estudiar hehehehehe.
Es un programa hecho en perl el cual nos dara una cookie como resultado del inicio del analisisi,OS Version,current user  y todo lo que ven en el siguiente ejemplo.
sqli_discover_tables v0.21 29Jan2009 kaneda ‘n phildo, upgraded by redsand.
[*] HTTP cookie set to ASPSESSIONIDSSSTRCDB=JNLLJILCKOOLFEFNLDOBANFL
[*] Abusing ‘CategoryID’…

[+] OS version: Windows NT 5.2 (Build 3790: Service Pack 2)
[+] Current user: dbo

unknown_db.table> help
sqliinjection interactive session help

exit / quit – leave sqli
discover databases / discover dbs – discover all databases on system
discover tables – discover all tables on system
discover columns – discover all columns in current table
select db/database [name] – change context to database [name]
select table [name] – change context to table [name]
fetch n,..,x – fetch data from columns n, etc. (i.e. fetch username,password).
… and more…
usage: sqlidiscover [-G|-P] [-v] [-b] [-phostname:port] [-cCookieName:CookieValue] [-avarname1=value1,…,varname2=value2] [-ivarname] URL

-G – use GET method
-P – use POST method
-a – additional variables i.e. -aaction=create,cid=12
-b – bypass SQL, OS version and current user check
-i – variable to screw with i.e. -itxtPassword
-v – verbose
-p – use http/https proxy, format hostname:port i.e. -pmyproxy.com:8080
-c – use browser cookie, format name:value i.e. -cASPSESSIONID:LCACPKILKFN
Pues ahi esta, no es un programa muy complicado de usar quizas puede ser un poco laborioso pero sirve bastante claro si  lo que quieren es usar un gui bastante elaborado y todo fresa QUE SE NOTE QUE ES DEL 2009 pues luego les pondre algo o le buscan, hay gente que prefiere ahcer todo esto completamente a mano, otros se ayudan de los googlers, otros de los gui’s o de programas en php,perl,python como este. De mientras este.luego algo que se ajuste a sus necesidades…

Download Now!

Sqlidiscover MsSQL SQL Injection Crawler

Comments
  1. Información Bitacoras.com…

    Valora en Bitacoras.com: La gente de Blacksecurity saco hace ya unos 6 meses una herramienta para poder hacer todos estos menesteres en bases de datos mssql como pior ejemplo y hace un data crawling extnso para determinar schemas,tables,columns y dem…..

  2. Hey, ok, I get it, I guess – but does this really work?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s