Pangolin: SQL-инъекции теперь не утомляют

Нет-нет, pangolin – это не название препарата =) На самом деле это новый интрумент для быстрой и эффективной эксплуатации SQL-инъекций, разработанный китайскими хакерами, и переводится как “ящер”. По заявлению главного разработчика, это самая лучшая программа среди подобных; возможно это так и есть, ведь в Китае pangolin является самым популярным интрументом для работы со SQL-инъекциями. Признаться, ни за что бы не скачал эту программу, заявленной как “The best SQL-injector you’ve ever seen”, если бы не встретил восторженных комментариев на одном из зарубежных форумов, посвященных веб-безопасности. Мнения пользователей меня заинтриговали, и я решил проверить что из себя представляет этот чудо-зверь.


Pangolin выполнен в виде GUI-приложения, работающего в Windows. Благодаря продуманному и в то же время простому интерфейсу, пользователь без труда разберется во всех ее особенностях. На мой взгляд, это довольно существенный плюс, так как перегруженный интерфейс, например как у SQL Injection Pentesting Tool, препятствует не только быстрому обучению, но и последующему комфортному использованию программы. Итак, в главном окне программы видим всего несколько полей для ввода данных: URL, метод отправки запросов (GET или POST), тип данных уязвимого параметра, тип базы данных и слово для сравнения правильных и неправильных запросов. Особенность программы заключается в том, что обязательным для заполнения является только URL и метод (обычно GET), остальное программа способна определить сама. Правда также желательно указывать тип БД, так как при слепых инъекциях, Pangolin может ошибиться. Количество поддерживаемых типов БД впечатляет: MySQL, MSSQL, Oracle, Sybase, DB2, Access, Informix, PostgreSQL, SQLite. Рассмотрим пример работы со SQL-инъекцией в MySQL.

Прежде всего указываем URL с инъекцией на каком-нибудь сайте или на собственном локальном сервере и нажимаем Check. После того, как программа завершит предварительное исследование инъекции, появятся вкладки для последующего получения информации. Во вкладке Informations (ох уж эти китайцы, английского они совсем не знают), мы можем выяснить стандартные параметры, такие как имя текущего пользователя, текущей БД и версию MySQL. Кроме того, программа позволяет узнать включена ли опция PHP magic_quotes_gpc, а также, при доступе к БД mysql, – всех пользователей и базы данных. Отмечаем все поля, которые нам необходимо узнать, и нажимаем Go. Стоит отметить, что программа работает очень быстро, поэтому уже через несколько секунд мы можем видеть нужную для нас информацию.

Но этого мало, переходим к следующей вкладке – Datas. Здесь мы можем выяснить названия таблиц, их поля и содержимое. В случае с MySQL5 добыть эту информацию для программы не составит труда, а вот в остальных случаях поможет только брут. К сожалению, в архиве с Pangolin имеются довольно слабые словари для брута, но нам ничего не мешает заменить их своими. Если у вас их еще нет, то вот мои:
Стандартные таблицы
Таблицы, изпользуемые в популярных CMS и форумах
Поля
Также может пригодится вот этот сервис.

Определив таблицы и их поля, можно приступать к извлечению содержимого. Все производится без особых проблем; теперь мы можем сохранить добытую информацию.

Если вам повезло и текущий пользователь является root’ом, то переходим к следующей вкладке – FileReader. Здесь все просто: указываем файл и при наличии file_priv, видим его содержимое.

К сожалению, со слепыми инъекциями Pangolin не так хорош; по крайней мере мне не удалось заставить его даже определить версию БД – все что мы видим это следующая фраза в логе:

Oh, my. The target even not supports “UNION” keyword, it’s unbelievable!!!

Для остальных типов БД также можно получить множество полезной информации, причем некоторые возможности программы могут даже побудить взять снифер и проверить какие запросы она отправляет. Например с MSSQL-инъекциями программа может сделать следующее: просмотр стандартной информации; работа с таблицами и полями; выполнение команд; редактор реестра; чтение,запись, скачивание файлов; просмотр директорий.

В настройках программы можно указать прокси, дополнительные HTTP-заголовки, различные методы обхода фильтров и многое другое. Одним словом, программа заслуживает внимания.

Скачать


Posted

in

by

Comments

29 responses to “Pangolin: SQL-инъекции теперь не утомляют”

  1. analgin Avatar
    analgin

    Както он палиться не красиво:
    http://www.virustotal.com/ru/analisis/dd9e99a2d7f4750ad3ff2c313b65b418

  2. Raz0r Avatar

    Антивирусы относятся к нему так же, как и к любой другой известной программе из группы X-Tools, ничего удивительного здесь нет

  3. r.e.a.l. Avatar
    r.e.a.l.

    Raz0r ,
    прога не скачиваеться
    как можно ее скачать– или если можешь выложи

  4. r.e.a.l. Avatar
    r.e.a.l.

    пасиб!!! теперь все о.к.

  5. Spm Avatar
    Spm

    Палится действительно не красиво =( Касп пишет именно троян нсли меня не глючит…
    Береженного бог бережет =)

  6. Ars][ Avatar

    А “кто не рискует тот не пьёт шампанского” (c)

  7. Raz0r Avatar

    Вот что говорит сам автор панголина по поводу “бэкдора” в его программе:
    http://www.engardelinux.org/modules/index/list_archives.cgi?list=websecurity&page=0252.html&month=2008-03
    Так что ничего опасного там точно нет

  8. Дмитрий Avatar
    Дмитрий

    А почему при запуске пишет: ….У вас нет нужных прав доступа к этому объекту

  9. Raz0r Avatar

    Дмитрий, отключите ваш антивирус

  10. Дмитрий Avatar
    Дмитрий

    Отключил, просит Microsoft Data acess, 2.1 у меня стоит 2,8
    (((

  11. Liar Avatar

    Решил попробывать, как раз есть один сайт \\турфирма\\ ручками расковырял, попробую ей…
    и хотелось бы спросить через прокси\соксы работает ?

  12. Liar Avatar

    Всё глянул, извини увидел 🙂

  13. prescott Avatar

    Спасибо за штучку.. а то наколенные скрипты неудобны в иаких случаях.. а sipt тяжела что то…

  14. Conroe Avatar
    Conroe

    Есть более новый версии?

  15. Raz0r Avatar

    Уже появилась вторая версия, только платная =)

  16. Веля Солнышкин Avatar
    Веля Солнышкин

    Разег,зря ты так о сипте)))Если её асилить,то мона творить чудеса.Жаль,что обнову я так и не получил.Удивляет эта прога тем(пока не скачал:Д),что мона работать с кучей бдшек,которых я даже не хекал!)))Чего не скажешь о сипте(Да и в глазки не видел).В общем,секир Веля башка…Буду учиться ^_____^

  17. SpYeR Avatar

    Просто офигенная вещь.
    На одном подопытном сайте за пару минут определил, что это MSSQL, вытащил все таблицы, из таблиц пользователи с паролями, пролистал файлы на серваке, почитал реестр… Жесть.
    Спасибо, Raz0r.

  18. Raz0r Avatar

    Спасибо за ссылку, кстати автор там же в коментах утверждает, что это якобы проверка на апдейты, не знаю можно ему верить или нет

  19. йцу Avatar
    йцу

    Там 100% вирус.Во всех панголинах кроме 2.5 версии вирус.Лучше учитесь в ручную.Это очень прикольно да и потом поймете принцип работы этих программ.И гляди сами напишите.

  20. organik10 Avatar
    organik10

    Всем хакерам привет!
    У меня есть программа Pangolin_professinal_edition3.0.0.1016
    Но я в области взлома пока очень сырой, мне нужны материаллы в этой области. и желательно на русском языке. Готов поделиться прогой с тем кто мне поможет с этим вопросом

  21. яя Avatar
    яя

    набери в сети sql инъекция и все.вообще то в Pangolin_professinal_edition3.0.0.1016 есть кнопка поиска сайтов с дырками и тестирования их.

  22. Hacker-X Avatar
    Hacker-X

    незнаю но на проверочном скрипте прога лоханулась :-)))))))
    да тем более появилась новая версия,……………….. скачайть всем срочно с сайта http://www.nosec.org/
    а вообще статья неплохая спасибо:-)

  23. Hacker-X Avatar
    Hacker-X

    скачал программу SQL Power Injector 1.2 кто знает описание напишите она тоже автоматизирует скульные атаки да еще переводит символы в разные кодировки
    рекомендую она довольно таки мощная имеет множество настроек мне кажется не хуже китайской программы рекомендую всем

  24. mihas Avatar
    mihas

    гавно,havij намног лучше…

  25.  Avatar
    Anonymous

    автор Oh, my. The target even not supports «UNION» keyword, it’s unbelievable!!! в настройках надо поставить чтобы подбирало через order by, щелкает блинды как орешки
    По поводу havij примитив, в случае блинда бесполезная весч

  26. Megabyte Avatar
    Megabyte

    вчера испытал программу Havij1.13Free.rar очень даже неплохая может даже лучше панголина рекомендую всем попробовать она сама определяет параметры и ломает многие вещи что удобно для новичков и приятно для проффесионалов

  27. Feniks000 Avatar
    Feniks000

    Havij1.13

    Не понравилась прога..

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.