Pangolin: SQL-инъекции теперь не утомляют

Нет-нет, pangolin — это не название препарата =) На самом деле это новый интрумент для быстрой и эффективной эксплуатации SQL-инъекций, разработанный китайскими хакерами, и переводится как «ящер». По заявлению главного разработчика, это самая лучшая программа среди подобных; возможно это так и есть, ведь в Китае pangolin является самым популярным интрументом для работы со SQL-инъекциями. Признаться, ни за что бы не скачал эту программу, заявленной как «The best SQL-injector you’ve ever seen», если бы не встретил восторженных комментариев на одном из зарубежных форумов, посвященных веб-безопасности. Мнения пользователей меня заинтриговали, и я решил проверить что из себя представляет этот чудо-зверь.


Pangolin выполнен в виде GUI-приложения, работающего в Windows. Благодаря продуманному и в то же время простому интерфейсу, пользователь без труда разберется во всех ее особенностях. На мой взгляд, это довольно существенный плюс, так как перегруженный интерфейс, например как у SQL Injection Pentesting Tool, препятствует не только быстрому обучению, но и последующему комфортному использованию программы. Итак, в главном окне программы видим всего несколько полей для ввода данных: URL, метод отправки запросов (GET или POST), тип данных уязвимого параметра, тип базы данных и слово для сравнения правильных и неправильных запросов. Особенность программы заключается в том, что обязательным для заполнения является только URL и метод (обычно GET), остальное программа способна определить сама. Правда также желательно указывать тип БД, так как при слепых инъекциях, Pangolin может ошибиться. Количество поддерживаемых типов БД впечатляет: MySQL, MSSQL, Oracle, Sybase, DB2, Access, Informix, PostgreSQL, SQLite. Рассмотрим пример работы со SQL-инъекцией в MySQL.

Прежде всего указываем URL с инъекцией на каком-нибудь сайте или на собственном локальном сервере и нажимаем Check. После того, как программа завершит предварительное исследование инъекции, появятся вкладки для последующего получения информации. Во вкладке Informations (ох уж эти китайцы, английского они совсем не знают), мы можем выяснить стандартные параметры, такие как имя текущего пользователя, текущей БД и версию MySQL. Кроме того, программа позволяет узнать включена ли опция PHP magic_quotes_gpc, а также, при доступе к БД mysql, — всех пользователей и базы данных. Отмечаем все поля, которые нам необходимо узнать, и нажимаем Go. Стоит отметить, что программа работает очень быстро, поэтому уже через несколько секунд мы можем видеть нужную для нас информацию.

Но этого мало, переходим к следующей вкладке — Datas. Здесь мы можем выяснить названия таблиц, их поля и содержимое. В случае с MySQL5 добыть эту информацию для программы не составит труда, а вот в остальных случаях поможет только брут. К сожалению, в архиве с Pangolin имеются довольно слабые словари для брута, но нам ничего не мешает заменить их своими. Если у вас их еще нет, то вот мои:
Стандартные таблицы
Таблицы, изпользуемые в популярных CMS и форумах
Поля
Также может пригодится вот этот сервис.

Определив таблицы и их поля, можно приступать к извлечению содержимого. Все производится без особых проблем; теперь мы можем сохранить добытую информацию.

Если вам повезло и текущий пользователь является root’ом, то переходим к следующей вкладке — FileReader. Здесь все просто: указываем файл и при наличии file_priv, видим его содержимое.

К сожалению, со слепыми инъекциями Pangolin не так хорош; по крайней мере мне не удалось заставить его даже определить версию БД — все что мы видим это следующая фраза в логе:

Oh, my. The target even not supports «UNION» keyword, it’s unbelievable!!!

Для остальных типов БД также можно получить множество полезной информации, причем некоторые возможности программы могут даже побудить взять снифер и проверить какие запросы она отправляет. Например с MSSQL-инъекциями программа может сделать следующее: просмотр стандартной информации; работа с таблицами и полями; выполнение команд; редактор реестра; чтение,запись, скачивание файлов; просмотр директорий.

В настройках программы можно указать прокси, дополнительные HTTP-заголовки, различные методы обхода фильтров и многое другое. Одним словом, программа заслуживает внимания.

Скачать


30 комментариев

  1. analgin, 24. июня 2008, 21:20

    Както он палиться не красиво:
    http://www.virustotal.com/ru/analisis/dd9e99a2d7f4750ad3ff2c313b65b418

     
  2. Raz0r, 26. июня 2008, 15:11

    Антивирусы относятся к нему так же, как и к любой другой известной программе из группы X-Tools, ничего удивительного здесь нет

     
  3. r.e.a.l., 4. июля 2008, 20:38

    Raz0r ,
    прога не скачиваеться
    как можно ее скачать— или если можешь выложи

     
  4. Raz0r, 4. июля 2008, 21:26
  5. r.e.a.l., 4. июля 2008, 23:02

    пасиб!!! теперь все о.к.

     
  6. Spm, 12. июля 2008, 2:58

    Палится действительно не красиво =( Касп пишет именно троян нсли меня не глючит…
    Береженного бог бережет =)

     
  7. Ars][, 2. августа 2008, 10:37

    А «кто не рискует тот не пьёт шампанского» (c)

     
  8. Raz0r, 31. августа 2008, 16:46

    Вот что говорит сам автор панголина по поводу «бэкдора» в его программе:
    http://www.engardelinux.org/modules/index/list_archives.cgi?list=websecurity&page=0252.html&month=2008-03
    Так что ничего опасного там точно нет

     
  9. Дмитрий, 8. сентября 2008, 16:04

    А почему при запуске пишет: ….У вас нет нужных прав доступа к этому объекту

     
  10. Raz0r, 8. сентября 2008, 20:49

    Дмитрий, отключите ваш антивирус

     
  11. Дмитрий, 9. сентября 2008, 11:15

    Отключил, просит Microsoft Data acess, 2.1 у меня стоит 2,8
    (((

     
  12. Liar, 27. декабря 2008, 5:22

    Решил попробывать, как раз есть один сайт \\турфирма\\ ручками расковырял, попробую ей…
    и хотелось бы спросить через прокси\соксы работает ?

     
  13. Liar, 27. декабря 2008, 5:24

    Всё глянул, извини увидел 🙂

     
  14. prescott, 28. января 2009, 7:20

    Спасибо за штучку.. а то наколенные скрипты неудобны в иаких случаях.. а sipt тяжела что то…

     
  15. Conroe, 29. апреля 2009, 20:22

    Есть более новый версии?

     
  16. Raz0r, 29. апреля 2009, 21:51

    Уже появилась вторая версия, только платная =)

     
  17. Веля Солнышкин, 1. мая 2009, 23:31

    Разег,зря ты так о сипте)))Если её асилить,то мона творить чудеса.Жаль,что обнову я так и не получил.Удивляет эта прога тем(пока не скачал:Д),что мона работать с кучей бдшек,которых я даже не хекал!)))Чего не скажешь о сипте(Да и в глазки не видел).В общем,секир Веля башка…Буду учиться ^_____^

     
  18. SpYeR, 29. сентября 2009, 19:47

    Просто офигенная вещь.
    На одном подопытном сайте за пару минут определил, что это MSSQL, вытащил все таблицы, из таблиц пользователи с паролями, пролистал файлы на серваке, почитал реестр… Жесть.
    Спасибо, Raz0r.

     
  19. CfK, 24. ноября 2009, 18:15
  20. CfK, 24. ноября 2009, 18:17
  21. Raz0r, 24. ноября 2009, 19:22

    Спасибо за ссылку, кстати автор там же в коментах утверждает, что это якобы проверка на апдейты, не знаю можно ему верить или нет

     
  22. йцу, 3. апреля 2010, 15:26

    Там 100% вирус.Во всех панголинах кроме 2.5 версии вирус.Лучше учитесь в ручную.Это очень прикольно да и потом поймете принцип работы этих программ.И гляди сами напишите.

     
  23. organik10, 6. апреля 2010, 9:12

    Всем хакерам привет!
    У меня есть программа Pangolin_professinal_edition3.0.0.1016
    Но я в области взлома пока очень сырой, мне нужны материаллы в этой области. и желательно на русском языке. Готов поделиться прогой с тем кто мне поможет с этим вопросом

     
  24. яя, 24. апреля 2010, 7:34

    набери в сети sql инъекция и все.вообще то в Pangolin_professinal_edition3.0.0.1016 есть кнопка поиска сайтов с дырками и тестирования их.

     
  25. Hacker-X, 20. мая 2010, 17:04

    незнаю но на проверочном скрипте прога лоханулась :-)))))))
    да тем более появилась новая версия,……………….. скачайть всем срочно с сайта http://www.nosec.org/
    а вообще статья неплохая спасибо:-)

     
  26. Hacker-X, 20. мая 2010, 17:11

    скачал программу SQL Power Injector 1.2 кто знает описание напишите она тоже автоматизирует скульные атаки да еще переводит символы в разные кодировки
    рекомендую она довольно таки мощная имеет множество настроек мне кажется не хуже китайской программы рекомендую всем

     
  27. mihas, 26. июня 2010, 23:44

    гавно,havij намног лучше…

     
  28. Аноним, 9. декабря 2010, 20:23

    автор Oh, my. The target even not supports «UNION» keyword, it’s unbelievable!!! в настройках надо поставить чтобы подбирало через order by, щелкает блинды как орешки
    По поводу havij примитив, в случае блинда бесполезная весч

     
  29. Megabyte, 18. декабря 2010, 10:19

    вчера испытал программу Havij1.13Free.rar очень даже неплохая может даже лучше панголина рекомендую всем попробовать она сама определяет параметры и ломает многие вещи что удобно для новичков и приятно для проффесионалов

     
  30. Feniks000, 24. марта 2012, 17:47

    Havij1.13

    Не понравилась прога..

     

Write a comment: