Chinaunix

标题: Pangolin - The best sql injector you've ever seen [打印本页]

---

作者: solaris小兵    时间: 2009-01-20 11:40
标题: Pangolin - The best sql injector you've ever seen

Pangolin - The best sql injector you've ever seen
工具

申明：Pangolin开发的初衷是用于给渗透测试人员进行安全评估测试时使用，请勿在未授权的情况下使用他进行攻击操作，否则一切后果自负!!!
最新版本：v1.3.1.650
更新时间：2008-06-13
下载地址：
http://down2.nosec.org/pangolin_bin.rar
http://down3.nosec.org/pangolin_bin.rar
一、简介(What pangolin is)
Pangolin是一款Windows平台下的自动化SQL注入渗透测试工具。他实现了从检测到利用完成一体化的渗透攻击动作，尽可能的将SQL注入攻击效果最大化。
使用平台：Windows XP SP1/SP2; Windows 2003 Server SP1; Windows Vista; 其他平台未测试，有测试过运行无误的朋友还望告知，谢谢。
二、功能(What he can do)
1.支持的数据库类型
数据库类型
目标信息获取
其他
MS SQL
服务器版本、服务器名称、数据库名称、当前用户、当前用户权限、数据库列表
执行系统命令、读取注册表、读文件、写文件、下载远程文件、导出数据到指定的数据库服务器
Oracle
版本信息、IP地址、当前用户、当前会话权限、主机名、实例名称、用户帐号信息、外部IP地址
帐号破解、注入提权（adding）、远程数据存储读取
Mysql
版本、GPC判断、数据库列表、临时目录、当前用户、操作系统信息、用户帐号
读文件、写文件
Access
数据库路径、根目录、磁盘信息
只能暴力
PostgreSQL
版本信息、数据库、当前用户、当前会话用户、端口、数据路径、搜索路径
读文件
DB2
版本信息、数据库、当前用户、操作系统名称、操作系统版本、主机名称
……
Sybase
……
……
Informix
……
……
Sqlite
……
……
2.详细功能
请参考Pangolin在线帮助手册：
http://www.nosec.org/web/pangolin_manual
3.优点

数据库全：基本上覆盖目前所有的数据库类型
速度快：应用了联合查询语句，在关闭了所有错误提示的情况下也能迅速获取数据，而绝不是一个字母一个字母的猜解功能多：
每个数据库类型都会对应几乎最大化的功能利用
检查方式准确：手工操作最少的情况下有最大的准确度。独创的根据返回内容大小来尽可能的避免关键字;从1.2.3.577版本开始加入了一个非常有用的功能: 能够自动分析关键字(无需用户手动输入） ; )
另外，本工具还有以下一些特点：

• 独创的“关键字自动分析”技术
  
• 能够绕过某些输入过滤防火墙
  
• 独创的valide size判断技术
  
• 支持代理
  
• 支持手动设置任何HTTP标题头，包括User-Agent以及Cookie等信息。这个在一些需要登录的网站且存在验证码时很有用。
  
• 支持HTTPS

三、贡献者列表(Contributors)
在Pangolin的开发过程中，得到了许多朋友的支持和帮助，这里特别要感谢如下人员：

• SuperHei
  SuperHei@ph4nt0m.org
  >
  
• Trace  
  
• kj021320  
  
• 4ngle  
  
• 鬼仔  
  
• 牛博明  
  
• 趙桂德  
  
• 傲少  
  
• hiicome  

四、用实际行动支持Pangolin(How to support Pangolin)
你可以通过邮件
zwell@sohu.com
联系我，或者加我的MSN:zwell@yeah.net一起探讨如何对Pangolin进行不断的改进。
当然，我也希望有兴趣的安全公司对我进行“非精神方面”的支持，；）这样您能在第一时间内获取到最新版本，最全功能的Pangolin。
五、下载(Download)
下载地址:
http://down2.nosec.org/pangolin_bin.rar
http://down3.nosec.org/pangolin_bin.rar
六、更新日志(Update information)
v1.3.1.650 (2008-06-13)

• 添加了语言处理模块功能，自动分析网页编码方式，初步解决乱码的问题(感谢Bluer/傲少)
  
• 修正了点击停止按键不能中止操作的BUG，之前尝试修正了几次，均没有完全修正，这下好了，再不会出现该问题了(感谢Bluer)
  
• 修正点击Reset崩溃的问题（感谢傲少）
  
• 修正POST方法不能编码URL的问题（感谢傲少）

v1.3.0.630(2008-06-07)

• 开启了对URL进行编码的功能，更好的穿透防火墙，您可以通过Setting Room中的Advantage标签页下的Uri Encode Mode勾选框启用（感谢XXXXX/Carmark John朋友）
  
• 修正了获取MSSQL数据库列表的的BUG（感谢shangkuichuan朋友，实在是太热情了，呵）
  
• 修正了许多个注入时崩溃的BUG（感谢so many people）
  
• 其他很多功能我改啊改啊的就忘记了……

v1.3.0.622 (2008-05-25)

• 添加oracle远程获取数据功能
  
• 加入多语功能
  
• 解决猜解数据时出现的乱码问题
  
• 针对其他文字编码的表名出现不能获取列的BUG（感谢^sSsZoNe^朋友）
  
• 修正MSSQL执行命令时不能停止的问题(感谢tianjishu朋友）
  
• 解决猜解数据时点击Stop失效的BUG（感谢vulmaillist朋友）
  
• 修改保存数据功能
  
• 加个2005MSSQL 恢复XP-CMDSHELL (感谢Solitary'Fox)
  
• 解决不能连接本地localhost代理的问题(感谢axis)
  
• 其他许多微小地方的修改

v1.2.6.606：

• 完善MSSQL目录获取功能，一些朋友反馈说很多网站其他的注入工具能够目录列表，Pangolin不行。其实现实情况是确实存在两种数据库解析的结果不同，我的方法与其他工具的方法针对一些特例的处理是不一样的。也就是说存在很多网站是Pangolin能获取目录而其他所有工具都获取不到的。Pangolin代码中一直都有两种处理方式，只是我一直在两者中徘徊，后来想明白了，两个方法都给用户用，一次失败换另一种上。
  
• 解决MSSQL权限判断的BUG，一直以来都没有发现，也没有朋友反馈一下，自己解决了
  
• 在目录管理中直接加入了读取文件内容功能，有朋友反馈说很多情况下不能获取目录结构，但是知道文件的绝对路径。
  
• ……其他一些界面调整等小变动

v1.2.5.600:

• 添加扫描配置参数Scan all params not only the last one，勾上的话使用者就可以测试所有的参数了。默认情况下只会针对最后一个参数进行。
  
• 现在使用ASPACK进行压缩了，这样就避免一些杀毒软件误报。
  
• 修正了暴力模式下一直提示内容为32的错误
  
• 修正了在获取信息时会保留上一次残留信息的不足
  
• ......还有许多其他的修正，一下列不完了，大家使用过后就知道了。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/504/showart_1805176.html

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2