حالة الموضوع:
مغلق
  1. مخابرات الهكر

    مخابرات الهكر Developer

    الأنتساب:
    ‏19 يوليو 2012
    المشاركات:
    67
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    ksa
    [​IMG]
    كيف الحال اخواني ان شاء الله بخير اليوم موضوعنا شرح اهم ادوات الحقن SQL injection

    بسم الله نبدا


    راح نبدا بترتيب الادوات من الاول للاخير

    كود PHP:
     1:Sqlninja 
     2
    :sqlmap 
     3
    :Pangolin
     4
    :Havij 
     5
    :SQL Power
     6
    :SQLIer
     7
    :bsqlbf-v2
     8
    :Marathon Tool
     9
    :BSQL Hacker
     10
    :SQID 
     11
    :WITOOL 
     12
    :sqlus 
     13
    DarkMySQLi16
     14
    :PRIAMOS 
     15
    :FJ-Injector Framework
     16
    :SFX-SQLi

    نبدا في اول اداة وهي .:{13}:.

    Sqlninja

    [​IMG]

    معلومات حول هاذي الاداة الجميلة ..

    مميزات الأداة:


    عمل Remote Fingerprint ومشاهدة المعلومات الخاصة بالـ SQL Server: لتنفبذ هجوم فعال نحتاج الى بعض المعلومات التي ستساعدنا في تنفيذ الهجوم كاصدار سيرفر SQL, معرفة اسم المستخدم للخادم وصلاحياته ومعرفة اذا كانت xp_cmdshell مفعلة ام لا.تنفيذ هجوم Bruteforce لكلمة مرور مستخدم sa.عمل Privilege escalation الذي يمكننا من تحويل صلاحيات المستخدم الى Sysadmin Group في حالة الحصول على كلمة مرور sa.تفعيل xp_cmdshell لنتمكن من تنفيذ اوامر النظام على السيرفر. (هذا الخيار يعد من أهم الخيارات نظراً لخطورة هذه الدالة و ما تتيحه للمهاجم. لنجاح هذه التقنية يجب ان نملك صلاحيات sa وهناك طريقتين لتفعيل xp_cmdshell: استخدام استعلام sp_addextendedproc في SQL Server 2000 او sp_configure في خوادم SQL Server 2005 حيث تتطلب هذه التقنية وجود ملف xplog70.dll على السيرفر.تكوين استعلام خاص باستخدام sp_oacreate , sp_oamethod و sp_oadestroy وهذه التقنية لا تتطلب وجود الملف xplog70.dll. امكانية رفع اي ملف تنفيذي باستخدام طلبات HTTP فقط دون الحاجة الى استخدام بروتكول FTP.عمل TCP/UDP port scanning: لمعرفة المنافذ المفتوحة و الغير مفلترة من قبل الجدار الناري من أجل ستخدامها للحصول على remote shell على السيرفر.امكانية استخدام اتصال مباشر او عكسي للحصول على shell على السيرفر الهدف.تنفيذ DNS-tunneled shell اذا لم تتوفر منافذ TCP/UDP.استعمال مشروع Metasploit لاستخدام Meterpreter كباك دور او استخدام VNC Server للحصول على VNC Access للسيرفر المستهدف.وجود عدة تقنيات لتخطي الـ IDS أو IPS و هي: Query hex-encoding: حيث يتم تشفير كل استعلام بالـHEX قبل تنفيذه (هذه التقنية مفيدة جدا في حالة وجود فلترة لعلامة التنصيص ‘ و حقن الصفحات التي تسمح باستخدام الارقام فقط).Comments as separators: حيث يتم استخدام اشارة التعليق /**/ بدلا من المسافة في الاستعلامات.Random caseRandom URL encoding: حيث يتم تشفير الاستعلامات باستخدام url encoding.

    وللمزيد حول الاداة والطرق من هنا
    [hide] https://www.isecur1ty.org/%D8%B4%D8%...8%A9-sqlninja/[/hide]
    لتحميل الاداة من موقعها الرسمي
    [hide]sqlninja - a SQL Server injection & takeover tool[/hide]

    [​IMG]

    ننتقل للاداة الثانية وهي غنية عن التعريف لدى الكل .. وهي

    sqlmap

    [​IMG]

    طبعن الاداة مبرمجة بلغة البايثون ..

    وهيي موجودة على الباك تراك . ولصحاب الوندز تقدرون تحملونها وتشغلوها .

    ولازم وجود مترجم البيثون

    طبعن الاداة كل شغلها عبر الاوامر , وهينا جميع اوامر الاداة


    [hide]https://github.com/sqlmapproject/sqlmap/wiki/Usage[/hide]

    لتحميل الاداة :{1}:

    [hide]sqlmap: automatic SQL injection and database takeover tool[/hide]

    [​IMG]

    الأداة الثالثه


    Pangolin


    [​IMG]

    طبعن بعض خصاص الاداة


    كود PHP:
     HTTPS support
     
    Pre-Login
     
    Proxy
     
    Specify any HTTP headers(User-agentCookieReferer and so on)
     * 
    Bypass firewall setting
     
    Auto-analyzing keyword
     
    Detailed check options
     
    Injection-points management
     
    Injection Digger
     
    Data dumper
     
    Support Access,DB2,Informix,
     
    Microsoft SQL Server 2000,
     
    Microsoft SQL  Server 2005,Microsoft SQL Server  2008
     
    ,MySQL,Oracle,PostgreSQL,Sqlite3,Sybase.


    شغالة على

    كود PHP:
     Windows 2000
     
    Windows XP
     
    Windows Vista 32 bit
     
    Windows Vista 64 bit
     
    Windows 7 32bit
     
    Windows 7 64bit


    وللمزيد من شرح البرنامج القناه الرسمية للبرنامج !!:{

    [hide]http://www.youtube.com/user/nosecinc/videos[/hide]

    ولتحميل البرنامج

    [hide]http://nosec.org/en/evaluate/[/hide]

    اختر نضام التشغيل وحملة :{13}:

    [​IMG]

    نتقل للبرنامج الرابع

    وهو البرنامج الغني عن التعريف Havij لن يتم التعريف بلبرنامج كثير لنه معروف


    [​IMG]

    لتحميل البرنامج من موقعه الرسمي

    [hide]Havij v1.16 Advanced SQL Injection | IT Security Research & Penetration Testing[/hide]

    [​IMG]

    الاداة رقم 5

    SQL Power

    [​IMG]

    لتحميل الاداة
    [hide]SQL Power Injector - Browse Files at SourceForge.net[/hide]

    [​IMG]
    الاداه رقم 6

    SQLIer


    [​IMG]
    لتحميل الاداة
    [hide]BCable.net - SQLIer[/hide]

    [​IMG]

    الاداة رقم 7

    وهي

    bsqlbf-v2

    [​IMG]

    اداة جميلة .. للحقن

    لتحميل الاداة والمزيد من المعلومات!!:{

    [hide]bsqlbf-v2 - Blind Sql Injection Brute Forcer version 2 - Google Project Hosting[/hide]

    [​IMG]

    الاداة رقم 8
    وهي

    Marathon Tool


    [​IMG]

    خصاص الاداة

    كود PHP:
    Database  Schema extraction from SQL ServerOracle and MySQLData  extraction  from Microsoft Access 97/2000/2003/2007 databasesParameter  Injection  using HTTP GET or POSTSSL supportHTTP proxy connection   availableAuthentication methodsAnonymousBasicDigest and   NTLMVariable and value insertion in cookies (Does not support dynamic   values)Configuration available an flexible for injectionsConfigurable   Log


    لتحميل الاداة

    [hide]Marathon Tool - Download: August 2008 Alpha[/hide]

    [​IMG]

    الاداة رقم 9

    وهي

    BSQL Hacker

    [​IMG]

    لتحميل الاداة

    [hide]Downloads | Portcullis Labs[/hide]

    [​IMG]

    الاداة رقم 10

    وهي

    SQID

    [​IMG]
    [​IMG]

    الخصائص .

    [NEW]Look for SQL injections and common errors in web site URLs found by performing a google search.Look for SQL injections and common errors in a given URL or a file with URLs.Look for SQL injections and common errors in links from a web page.Crawl a web site/web page and do the above.[/NEW]
    وللمزيد من معلومات

    كود PHP:
    http://sqid.rubyforge.org/#about
    تحميل الاداة
    كود PHP:
    http://rubyforge.org/frs/?group_id=2617
    [​IMG]

    الاداه رقم 11

    وهي

    WITOOL

    [​IMG]
    [​IMG]

    لتحميل الاداه

    [hide]WITOOL : web sql injection tool | Free Development software downloads at SourceForge.net[/hide]

    [​IMG]

    الاداة رقم
    12
    sqlus

    لتحميل الاداة
    [hide]sqlsus | Free Development software downloads at SourceForge.net[/hide]

    [​IMG]

    الاداة رقم 13


    DarkMySQLi16.py

    [​IMG]

    طبعن الاداة جميلة .. وتمت برمجة الاداة بلغة البيثون .. لتحميل

    [hide]Insecurity: DarkMySQLi16.py Tutorial[/hide]

    [​IMG]

    الاداه رقم 14

    اسمها
    PRIAMOS


    [​IMG]

    لتحميل الاداة والمزيد


    [hide]Priamos Project - SQL Injector and Scanner - Darknet - The Darkside[/hide]

    [​IMG]

    الاداة رقم 15

    اسمها

    SFX-SQLi
    [​IMG]

    لتحميل والمزيد
    [hide]SFX-SQLi (Select For XML SQL injection)[/hide]

    [​IMG]

    الاداة رقم 15

    FJ-Injector Framework

    لتحميل الاداة
    [hide]FG-Injector Framework | Free Development software downloads at SourceForge.net[/hide]

    ولتحميل برنامج البيوثن . لتشغيل بعض الاداوت الي فوق

    Download Python

    [​IMG]
     
  2. DEaLeR_HaCKeR

    DEaLeR_HaCKeR Developer

    الأنتساب:
    ‏27 ديسمبر 2011
    المشاركات:
    73
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:
    8
    الإقامة:
    {مصر أرض الملوك}
    رد: اهم واشهر ادوات الحقن SQL injection

    الله يعطيك العافية
     
  3. E - l o O w

    E - l o O w Active DeveloPer

    الأنتساب:
    ‏27 مارس 2012
    المشاركات:
    87
    الإعجابات المتلقاة:
    6
    نقاط الجائزة:
    8
    الوظيفة:
    قريباً|| قوة دفاع البحرين||
    الإقامة:
    البحـــرين - رفـــاع
    رد: اهم واشهر ادوات الحقن SQL injection

    بارك الله فيك

    خالص الشكر على المشاركة
     
  4. صلاح الدين الأيوبي

    صلاح الدين الأيوبي Active DeveloPer

    الأنتساب:
    ‏18 مارس 2013
    المشاركات:
    95
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    رد: اهم واشهر ادوات الحقن SQL injection

    يعطيك العافية
     
  5. M3N X

    M3N X Developer

    الأنتساب:
    ‏16 يوليو 2013
    المشاركات:
    97
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:
    8
    رد: اهم واشهر ادوات الحقن SQL injection

    بارك الله فيك​
    و جزاك الله كل خير​:{1}:
     
  6. GO HacKer

    GO HacKer DeveloPer Plus

    الأنتساب:
    ‏16 يوليو 2013
    المشاركات:
    143
    الإعجابات المتلقاة:
    4
    نقاط الجائزة:
    18
    رد: اهم واشهر ادوات الحقن SQL injection

    مشششششششششششكور ي غالي
     
  7. الحوت الأزرق

    الحوت الأزرق Developer

    الأنتساب:
    ‏20 نوفمبر 2012
    المشاركات:
    27
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: اهم واشهر ادوات الحقن SQL injection

    الله يعطيك العافيه يا مبدع​
     
  8. Just for you

    Just for you DeveloPer Plus

    الأنتساب:
    ‏3 نوفمبر 2012
    المشاركات:
    116
    الإعجابات المتلقاة:
    3
    نقاط الجائزة:
    18
    رد: اهم واشهر ادوات الحقن SQL injection

    بارك الله فيك حبيبي ^:"
     
  9. code

    code Developer

    الأنتساب:
    ‏9 ديسمبر 2013
    المشاركات:
    1
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: اهم واشهر ادوات الحقن SQL injection


    شكرا جزيييييييييييييلا
     
  10. سمسم هكر

    سمسم هكر Developer

    الأنتساب:
    ‏14 ديسمبر 2013
    المشاركات:
    2
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: اهم واشهر ادوات الحقن SQL injection

    مشكوووووووووووووووووووور
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة