什么是pangolin呢,它将会你是见过最好的SQL注入渗透测试工具了。
为什么会这么说呢?因为,首先它支持的数据库是目前最全的,包括:
- Access : Informations(Database Path; Root Path; Drivers); Data
- MSSql : Informations; Data; FileReader; RegReader; FileWriter; Cmd; DirTree
- MySql : Informations; Data; FileReader; FileWriter;
- Oracle : Inforatmions(Version; IP; Database; Accounts......); Data; and any others ; )
- Informix : Informatons; Data
- DB2 : Informatons; Data; and more ;)
- Sybase : Informatons; Data; and more ;)
- PostgreSQL : Informatons; Data; FileReader;
- Sqlite : Informatons; Data
目前大部分的注入工具都是针对MSSQL和Mysql再加上Oracle,Access的,对于其他中小型公司使用较少的DB2、Informix、Sybase、PostgreSQL以及Sqlite都涉及的非常少,其实这些系统也是可以做非常多的事情的。
其次,从上面也可以看出,pangolin将会使SQL注入的功能最大化。每种数据库类型都会有信息获取,数据获取两项基本功能。除此之外,还包括一些不同的数据库的特殊应用。如Mysql的读写文件操作; MSSql的读写文件操作、注册表读取、系统命令执行; Oracle的密码破解、IP地址信息获取(即使是在内网通过防火墙映射的都可以); 甚至还包括Access数据库的数据库文件路径、磁盘信息、根路径等这些比较偏的信息也能获取。其他数据库中有许多东西需要自己去从pangolin中找着玩了 ;)
这个工具一直是自己私下里开发着用的,在所有错误信息被屏蔽的情况下也能非常快的获取。现在准备发布给一些渗透测试人员使用,希望能在功能上进一步完善。 |
